Новый API для мобильной версии Google Chrome подвергли критике за нарушение конфиденциальности

    image

    Разработка Google Chrome столкнулась с критикой из-за нового API — getInstalledRelatedApps. По мнению экспертов, он может серьезно повлиять на конфиденциальность данных пользователей.

    API getInstalledRelatedApps разрабатывают с 2015 года. В Chrome 59 его внедрили в качестве эксперимента. API позволяет разработчикам определить, установлено ли их приложение на устройстве пользователя и, к примеру, избежать выведения одного уведомления дважды.

    Эксперты, однако, указывают, что getInstalledRelatedApps спроектирован, скорее, в интересах девелоперов, а при некорректном использовании несет угрозу для безопасности и конфиденциальности данных пользователей. Если владелец ресурса с помощью getInstalledRelatedApps вычислит, какие приложения установлены на устройстве, то сможет использовать эту информацию в своих целях. Еще большая угроза заключается в том, что злоумышленники при получении такой информации смогут формировать целевые фишинговые письма или взламывать устройство через уязвимости в приложениях.

    Дэниел Брателл, разработчик браузера Opera, задался вопросом о том, настолько ли необходим этот API: «Мобильная сеть уже страдает от жестких попыток заставить веб-пользователей заменить использование сайтов на приложения, и это выглядит как попытка перенаправить их из опеннета в закрытые экосистемы».

    Редактор спецификаций и инженер Google Райан Кансо подтвердил, что API разрабатывается, скорее, под компании: «Хотя это не тот API, который принесет непосредственную пользу пользователям, они косвенно выиграют от использования благодаря улучшенному веб-интерфейсу».

    Позднее в дискуссию вступил инженер Google Йоав Вайс, чтобы выразить обеспокоенность по поводу последствий для конфиденциальности от внедрения API:«Знание того, что определенные приложения были установлены, может содержать ценную и потенциально конфиденциальную информацию о пользователе: уровень дохода, статус отношений, сексуальную ориентацию и т. д.».

    Питер Снайдер, исследователь конфиденциальности в браузере производителя Brave, выразил обеспокоенность тем, что getInstalledRelatedApps может использоваться для дактилоскопии пользователей. «Если я представляю компанию с большим количеством приложений (например, Google), с 16-32 приложениями, зарегистрированными в магазинах, то подмножество приложений, установленных любым пользователем, вероятно, будет очень сильным полуидентификатором, что несет риск для отпечатка устройства, не так ли?».

    Кансо в ответ сообщил, что в спецификации предусмотрены механизмы для предотвращения злоупотреблений — например, приложения и веб-сайты должны объявлять ассоциации друг с другом, поэтому сторонний веб-сайт не может запрашивать приложения другой компании на устройстве с целью анализа или снятия отпечатков устройства.

    Однако издатели прилагают усилия к тому, чтобы ослабить ограничения. Инженер PayPal сказал, что платежная система хочет иметь возможность запускать собственное приложение с помощью кнопки веб-платежа, которая находится в iframe. Мэтт Джука, инженер Google, отвечая на предложение, отметил: «Немного страшно расширять API с «любого сайта, который вы посещаете, чтобы узнать, установлено ли на нем встроенное приложение», до «любого сайта, встроенного в сайт, который вы посещаете, чтобы узнать, установлено ли на нем встроенное приложение». Вайс, в свою очередь, предупредил, что предоставление доступа к сторонним фреймам может привести к злоупотреблениям: «Например, многие приложения могут ассоциироваться с adprovider.example (за плату), который предоставит 3P-фреймам AdProvider доступ к большому количеству личной информации о пользователе (например, для каких устройств они приобрели и установили приложение), а также данные отпечатка».
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 2

      +2
      Зато последние билды хрома запрещают мне заходить на https, у которого ужасный самоподписанный сертификат, во внутренней сети под AD + kerberos, ведь это так небезопасно. /sarcasm
        +2
        не стал разбираться что там, поставил в cron когда-то:
        rm -rf \AppData\Local\Google\Chrome\User Data\SwReporter
        rm -rf \AppData\Local\Google\Software Reporter Tool

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое