Estensioni del browser che spiano l’utente: il caso DataSpii

Estensioni del browser che spiano l’utente: il caso DataSpii

Chi avrebbe mai potuto immaginare che nelle estensioni dei browser che tutti utilizziamo (ad esempio per avere funzioni in più come scaricare un video da Youtube) ci fosse uno spyware? Sembra che sia quello che è successo, incredibilmente: nello specifico, ha fatto un certo scalpore un articolo comparso qualche giorno fa sul blog Arstechnica, incentrato sulla ricerca effettuata da Sam Jadali che ha indagato sul singolare comportamento di molte estensioni per il browser: in molti casi, a suo dire, esse raccoglierebbero – all’insaputa dell’utente che le installa – dati sulla cronologia di navigazione degli stessi.

Tale problema di privacy è noto come DataSpii, e riguarderebbe un numero imprecisato di estensioni per Chrome e Firefox utilizzate da una base di utenti di circa 4 milioni. Tali estensioni sembra che salvassero all’insaputa dell’utente indirizzi URL visitati, titoli delle pagine ed in alcuni casi anche i link che venivano cliccati all’interno. Tutto nasce dalla pubblicazione di questi dati su internet, quindi un vero e proprio data leak, che ha portato progressivamente alla scoperta di link associati ad account di utenti con informazioni scambiate privatamente – ad esempio nelle chat di Facebook, oppure su siti di online booking. Per effettuare l’operazione le estensioni avrebbero sfruttato tecniche di occultamento delle attività, in modo da rendere difficile l’identificazione delle stesse dall’esterno.

Una vera e propria operazione di spionaggio informatico che sarebbe, stando alle fonti, sarebbe sfruttata (per quello che risulta) dalla Nacho Analytics: una società che, molto modestamente (?), si auto-proclama la “God mode di internet” (god mode è un modo gergale per riferirsi ad una modalità di gioco in Doom in cui il giocatore possiede tutte le armi a disposizione, ed è praticamente invincibile). Se fosse davvero così, ovviamente, sarebba una violazione del GDPR mica da ridere, visto che quei dati verrebbero utilizzati all’insaputa degli utenti per avere dati su cui elaborare, ad esempio, strategie di marketing mirate (se so con certezza che un utente visita determinati siti posso mandargli offerte mirate alla prima occasione, cosa che – del resto – posso fare anche coi cookie, ad esempio).

Nello specifico, dall’analisi di Jadali emerge che:

  • documenti di ogni genere accessibili mediante cloud, come ad esempio OneDrive;
  • accesso a videocamere di sorveglianza;
  • accessi a piattaforme per prenotare visite mediche;
  • itinerari di viaggio su Booking.com e siti analoghi;
  • foto allegate in chat su Facebook e postate anche con privacy abilitata.

I dati personali potenzialmente a rischio sono, ad esempio:

  • interessi personali degli utenti
  • pagamento di tasse
  • posizione GPS
  • servizi circolati su cloud
  • allegati di ogni genere
  • informazioni sulla carta di credito
  • itinerari di viaggio
  • genealogia
  • storico degli acquisti online

Ulteriori informazioni che venivano monitorate da DataSpii sono, ad esempio:

Keliweb - Hosting italiano per WP

Provalo subito



Scopri l'offerta
  • attività in tempo reale degli utenti
  • struttura LAN
  • contenuti delle pagine web (link)
  • note postate su cloud
  • API key
  • codice sorgente proprietario
  • codici di accesso a firewall e software proprietari
  • vulnerabilità 0-day

Le estensioni interessate al problema, molte delle quali sono state rimosse per violazione dei termini d’uso, non sembrano essere troppo comuni (se non altro) e stando alla ricerca sarebbero le seguenti:

Fairshare Unlock

SpeakIt!

Hover Zoom

PanelMeasurement

Super Zoom

SaveFrom.net Helper

Branded Surveys

Panel Community Surveys

Per risolvere il problema Jadali ha proposto, in conclusione della propria ricerca, tecniche avanzate di limitazione di accessi ai dati corporate e personali durante la navigazione a cui i browser, presumibilmente, dovrebbero adeguarsi.


Informazioni sull'autore

Salvatore Capolupo

Consulente SEO, ingegnere informatico e fondatore di Trovalost.it, Pagare.online, Lipercubo.it e tanti altri. Di solito passo inosservato e non ne approfitto.
Ti piace questo articolo?

1 voto

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.

Estensioni del browser che spiano l’utente: il caso DataSpii

Votato 10 / 10, da 1 utenti