Пользуетесь Google Chrome? Значит Google собирает ваши данные через X-client-data

    Многие считают сервисы Google полезными и удобными в использовании, однако у них есть как минимум одна важная особенность. Речь идет о постоянной слежке за пользователями, об интенсивном сборе и отправке данных об их активности.

    Далеко не все пользователи представляют, какого рода данные собирает компания, и в каких объемах. Но многие принципиально относятся к своей конфиденциальности, а некоторые готовы усмотреть нарушение тайны частной жизни даже в отправке лога с чисто техническими сведениями. Однако иногда на путь борьбы с Google выходят по-настоящему продвинутые пользователи.

    25 мая 2018 года вступил в силу GDPR General Data Protection Regulation — закон, принятый Европейским Парламентом, который ужесточил и унифицировал правила защиты данных пользователей. ЕС принял такое решение из-за растущего количества крупных утечек персональных данных, которые собирают такие ИТ-гиганты, как Google и Facebook. Однако фактически этот закон повлиял не только на граждан ЕС, но и на весь остальной мир.

    Многие интернет-сервисы, работая в разных странах, тем не менее, стараются соответствовать самым жестким требованиям к конфиденциальности. Так что, GDPR де-факто стал мировым стандартом.

    Так что там у Google


    Во вторник, 4 февраля 2020 года, Арно Гранал, разработчик браузера Kiwi на базе Chromium, поднял вопрос о передаче так называемого «уникального идентификатора», который формирует Google Chrome при установке. Гранал предположил, что его может использовать, по крайней мере, сама компания Google.

    Он и некоторые другие пользователи предполагают, что это бэкдор, который она может использовать в своих целях. И в таком случае можно говорить о нарушении закона GDPR, поскольку этот уникальный идентификатор можно рассматривать как данные, позволяющие однозначно установить личность пользователя.

    Корпорация Google никак не прокомментировала проблему. А официальные документы и прочие послания компании не позволяют до конца прояснить ситуацию.

    Как это работает


    Когда браузер запрашивает веб-страницу с сервера, он отправляет HTTP-запрос, который содержит набор заголовков, представляющих собой пары ключ-значение, разделенные двоеточиями. Эти заголовки в том числе определяют, в каком формате нужно прислать данные. Например,

    accept: text / html

    Ранее (как минимум с 2012 года) Chrome отправлял заголовок под названием «X-client-data», также известный как «X-chrome-variations», чтобы тестировать функции, находящиеся в разработке. Google активирует часть этих функций при установке браузера. Информация о них отображается, когда вы вводите chrome://version в адресную строку Chrome.

    Variations:  202c099d-377be55a

    В строке 32 файла исходного кода Chromium, заголовок X-client-data отправляет Google информацию о наборе тестов (Field Trials) для текущего пользователя Chrome.
    «Заголовок Chrome-Variations (X-client-data) не будет содержать никакой информации, позволяющей установить личность, и будет описывать только параметры установки самого Chrome, включая active variations, а также данные об экспериментах на стороне сервера, которые могут повлиять на установку», — говорится в руководстве по возможностям Google Chrome.

    Однако это не совсем так.

    Для каждой установки Google Chrome случайным образом генерирует число от 0 до 7999 (до 13 бит). Это число соответствует набору рандомно активированных экспериментальных функций.

    Чем больше пустых битов, тем труднее сформировать отпечаток браузера с высокой степенью уникальности, и наоборот. Но если комбинировать эти данные со статистикой использования и отчеты о сбоях, которые включены по умолчанию, то для большинства пользователей Chrome все-таки можно получить отпечатки с достаточно высокой точностью.

    Отпечаток «определяется вашим IP-адресом, операционной системой, версией Chrome и другими параметрами, а также параметрами вашей установки», — объясняет Гранал.

    Если вы, например, посетите YouTube, в заголовок будет включена строка вида:

    X-client-data: CIS2yQEIprbJAZjBtskBCKmdygEI8J/KAQjLrsoBCL2wygEI97TKAQiVtcoBCO21ygEYq6TKARjWscoB
    

    Это можно проверить самостоятельно, если открыть в Google Chrome консоль разработчика, а затем вкладку Network и далее перейти на сайт youtube.com, или doubleclick.net например.

    По словам Гранала, доступ к таким идентификаторам имеют только сайты youtube.com, google.com, doubleclick.net, googleadservices.com и некоторые другие сервисы Google. Но только в том случае, если браузер не находится в режиме инкогнито.

    Лучшая защита


    Если к X-client-data имеет доступ только Google, это может говорить о том, что компания защищает данные пользователей от всех, кроме самой себя.

    Лукаш Олейник, независимый исследователь и консультант по защите персональных данных, полагает, что эту функцию могут использовать в корыстных целях, хотя вполне возможно, что она создавалась для отслеживания технических проблем.
    «Я полагаю, что большинство пользователей не имеют представления об этом идентификаторе, о том, что он делает и когда используется. И возможно, проблема заключается в том, что идентификатор остается постоянным и не сбрасывается, когда пользователь очищает данные браузера. В этом смысле его можно считать отпечатком. [Пока] главный риск заключается в том, что данные отправляют сайтам, которыми управляет только одна организация».
    Гранал отмечает, что такой механизм передачи данных можно рассматривать как уязвимость. В исходном коде Chromium реализована лишь проверка предварительно заданного списка доменов Google, но он не проверяет другие домены. Поэтому злоумышленник может купить домен, например, youtube.vg, и развернуть на нем веб-сайт для сбора заголовков X-client-data.

    Недокументированные возможности


    В августе 2017 года специалисты «Лаборатории Касперского» обнаружили бэкдор в NetSarang, популярном софте для управления корпоративными серверами. Бэкдор ShadowPad был найден в ходе анализа подозрительных DNS-запросов в корпоративной сети одной из крупных фирм, установивших себе софт. Через бэкдор злоумышленники получали доступ к конфиденциальным данным организаций, использующих NetSarang.

    Компания-разработчик заявила, что ничего не знала об этом, а вредоносный код в их продукт внедрили неизвестные злоумышленники. Однако, после того, как бэкдор был найден, специалисты NetSarang подозрительно быстро ликвидировали уязвимость.

    Часто ли компании закрывают глаза на такие недокументированные возможности?

    VDSina.ru хостинг серверов
    Серверы в Москве и Амстердаме

    Комментарии 16

      +2
      Хорошо работать тоже плохо. 40 плетей гребцам этой галеры!
      >>Однако, после того, как бэкдор был найден, специалисты NetSarang подозрительно быстро ликвидировали уязвимость.
        +2
        Далеко не все пользователи представляют, какого рода данные собирает компания, и в каких объемах. Но многие принципиально относятся к своей конфиденциальности, а некоторые готовы усмотреть нарушение тайны частной жизни даже в отправке лога с чисто техническими сведениями.

        Вот и расскажите, какие данные собирают и отправляют организаторы распространения информации по запросу компетентных органов.
          0
          Гугл организатор распространения рекламы. И для этого они помечают каждого пользователя, и собирают на него досье.
            +1
            Речь шла о vdsina, если вы не поняли.
          +1

          Жаль не упомянули Яндекс, а то наивные полагают он святой или меньшее зло

            +1
            Судя по работе NoScript, doubleclick.net с googleadservices.com торчат почти на каждом сайте.
              0
              Так и есть. Их просто надо резать на корню, любыми блокировщиками рекламы.
              0
              Да, известная проблема. А новые варианты решения какие-то появились? В виде addon или extensions…
                +2
                Почему бы просто не использовать браузер, свободный от рекламных закладок? Например, Firefox.
                  0
                  Лично я использую 3 браузера и 3 устройства для разных целей )
                  С Файерфоксом попроще, а под Хром описанную в статье проблему с X-client-data решает расширение Adguard, но только не в мобильных версиях Adguard, где для отключения трэкинга требуется покупка премиум-лицензии. Кроме расширения от Adguard проблему под Хром также вроде как решает расширение Trace — Online Tracking Protection, хотя у него маловато установок…
                    0
                    Например, Firefox

                    Ничего не имею против Firefox, с переменным успехом пытаюсь на него пересесть последние несколько месяцев, но после хрома всякие мелочи в нем раздражают. Чуть более топорный интерфейс, чуть менее приятные анимации, чуть меньшее количество дополнений. И если на десктопе это «чуть» еще можно терпеть (хоть и с трудом, ведь браузер в топе основных приложений на устройстве), то на айфоне Firefox после Chrome и Safari как-то никак не заходит.
                    Посматриваю на chromium-based браузеры (какой-нибудь Brave), но сомнительно, насколько в них подобные «закладки» подчищены.
                      0
                      после хрома всякие мелочи в нем раздражают. Чуть более топорный интерфейс, чуть менее приятные анимации, чуть меньшее количество дополнений. И если на десктопе это «чуть» еще можно терпеть (хоть и с трудом, ведь браузер в топе основных приложений на устройстве), то на айфоне Firefox после Chrome и Safari как-то никак не заходит.
                      Да, очень вас понимаю. Точно такое же отвращение у меня ко всем Хромовым поделкам. Ужасный интерфейс, не те анимации, нет нужных расширений и так далее.
                      Айфонами не пользуюсь, но на андроиде ФФ отлично работает, и его синхронизация и отправка вкладок между устройствами, лучше всех. Ну и он создаётся компанией не продающей ваши данные.
                        0
                        Я Firefox начал использовать вынужденно на старом планшете с древней 4 или 5 версией Андроида, под которую Хром в какой-то момент просто перестал обновляться Гуглом. Чтобы перенести закладки в мобильный Firefox пришлось ещё установить для него и десктопную версию. Приятной особенностью мобильного Firefox является возможность активации плагинов, которые в Хроме можно использовать только в десктопной версии. И для всех нескольких десятков плагинов, который я привык использовать в Хроме, под Firefox есть аналоги. Что касается «не заходит» для мобильного Firefox, то на эту проблему с лагами загрузки 1й страницы после запуска Firefox (как правило, страницы для отправки поисковых запросов) многие пользователи жалуются, так что есть мнение, что это неспроста происходит, но не по вине Firefox: и яндекс, и гугл имеют собственные поисковые системы, не только браузеры, так что ещё один конкурент среди браузеров им не нужен, поэтому рекомендуют установить в качестве default search engine под Firefox что-нибудь другое…
                          0
                          На ios устройствах все сторонние браузеры являются перекрашенным сафари, так как Эппл запрещает использовать сторонние движки браузеров.
                            0
                            Это понятно, но я привык использовать один браузер везде (синхронизация закладок, истории и т.п), поэтому это играет роль на других платформах. Ну, и приготовить движок сафари тоже надо уметь, firefox на ios в этом плане все равно не идеал.
                      +1
                      В строке 32 файла исходного кода Chromium

                      Есть ещё программы, у которых весь код в одном файле? :)

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое