Различные расширения позволяют:

• находить выгодные предложения;
• исправлять грамматические ошибки и опечатки;
• управлять паролями;
• переводить веб-страницы.

Хотя эти расширения делают просмотр веб-страниц более доступным, продуктивным и полезным, они могут представлять угрозу для конфиденциальности. Исследование Технологического института Джорджии показало, что тысячи расширений автоматически извлекают частный пользовательский контент из веб-страниц, затрагивая миллионы пользователей интернета.

Группа исследователей под руководством Фрэнка Ли и с участием Цинге Кси разработала систему, которая отслеживает действия браузерных расширений. Команда представила свою работу на Usenix Security Symposium в августе.

Ли сказал, что расширения для браузеров собирают данные об активности пользователей и их истории. Нас заинтересовало, собирают ли они также личные данные с веб-страниц, такие как электронная почта, профили в социальных сетях, медицинские записи, банковская информация и прочее.

Команда разработала веб-фреймворк Arcanum (волшебная была игра, не правда ли), чтобы проверить, собирают ли расширения данные пользователей с веб-страниц. С помощью этой системы они проанализировали более 100 000 расширений, доступных в Интернет-магазине Chrome. В частности, они отслеживали, собирают ли эти расширения данные с семи популярных сайтов соцсетей, платежных сервисов, почтовых систем и одного маркетплейса.

Выяснилось, что многие браузерные расширения собирают личные данные пользователей. Они обнаружили более 3000 таких расширений, которыми пользуются десятки миллионов людей. Более 200 из них напрямую загружают конфиденциальную информацию на серверы.

Иногда сбор данных происходит по законным причинам — например, когда это необходимо для работы расширения. Поэтому бывает сложно понять, зачем именно расширение собирает данные.

Исследователи изучили группу расширений, отмеченных флажками. Они сравнили, как каждое из них собирает данные с политикой конфиденциальности и описанием веб-магазина. Это позволило понять, обоснованы ли ожидания пользователей о том, что расширения автоматически собирают их данные.

Оказалось, что ни одно из расширений не описывает автоматический сбор пользовательских данных в политике конфиденциальности или описании веб-магазина.

Кси говорит, что хотя расширения для веб-браузеров могут улучшить опыт просмотра страниц, они также могут навредить конфиденциальности пользователей. Даже если данные собираются для законных целей, это всё равно рискованно. Собранные данные могут быть переданы третьим лицам и в случае утечки попасть не в те руки.

Исследователи считают, что таким компаниям как Google следует разработать более строгие политики конфиденциальности для расширений или активнее применять уже существующие. Крупные компании, собирающие конфиденциальные данные пользователей, также должны усилить меры по защите своих клиентов.

Ли считает, что пользователи не должны сами заботиться о конфиденциальности и защите данных, поскольку у них может не быть для этого возможностей или знаний. Цель работы — донести эти вопросы до организаций, которые могут повлиять на сбор данных. Это должно помочь повысить уровень конфиденциальности пользователей.