Популярное дополнение Web Security для Firefox уличили в сборе пользовательских данных

Создатель блокировщика рекламы uBlock Origin Раймонд Хилл (Raymond Hill) и блогер Майк Кукец (Mike Kuketz) обнаружили, что расширение для Mozilla Firefox под названием Web Security, скачанное более 200 тысяч раз, собирает пользовательские истории посещений. Представители разработчиков утверждают, что приложение не нарушает правил магазина расширений Mozilla, но проведут дополнительное расследование.

Примечательно, что в описании дополнения говорится об “активной защите от малварей, поддельных и фишинговых сайтов, которые направлены на кражу личной информации”.

Подробнее о находке

После того, как в начале августа 2018 года Mozilla в своем блоге добавила Web Security в список рекомендованных приложений в сфере защиты и приватности, им заинтересовался Раймонд Хилл. Специалист обнаружил, что дополнение отправляет каждый посещенный URL по адресу http://136.243.163.73/, но вся информация искажена. Об этом он сообщил на форуме Reddit.

14 августа 2018 года Майк Кукец опубликовал запись о подобном поведении дополнения. Читатели блогера расшифровали закодированные данные и выяснили, что вся история посещений пользователей Web Security отправляется на сервер в Германии.

Такая активность могла бы быть обыденной для такого рода приложений, т.к. для сканирования сайта на предмет угроз им может быть предоставлено право на анализ на удаленном сервере. Однако энтузиасты обнаружили, что на этот сервер отправляются не только посещенные URL, а каждый пользователь также получает уникальный ID. Кроме того, приложению известен характер перехода по ссылкам и использования браузера:

Комментарии разработчиков Web Security

Издание Bleeping Computer связалось с представителями компании-разработчика расширения Creative Software Solutions для комментариев.

Проверка сайта неизбежно включает в себя связь между пользователем и сервером для сверки с глобальным черным списком запрещенных ресурсов, но мы придерживаемся абсолютного минимума и не сохраняем эту информацию. <…> Наши серверы находятся в Германии, а значит попадают под действие GDPR и обрабатывают данные только по указанным причинам.

Также в компании утверждают, что Web Security прошло проверку специалистами Mozilla, которые одобрили все методы связи с пользователями. Представитель сообщил, что разработчики расширения уже уведомлены о случившемся и продолжат изучать проблему тщательнее, чтобы исправить ошибку и улучшить работу приложения.

На момент написания заметки Web Security еще не удалено из магазина расширений Mozilla, однако в записи в блоге его уже нет. Специалистам компании, как правило, нужно несколько дней на рассмотрение проблемы и принятие решения.

Мобильный Firefox Focus получил функцию биометрической блокировки истории посещений в июле 2018 года. Хоть это и не поможет избежать передачи данных на удаленный сервер, но позволит скрыть открытые вкладки и историю от посторонних глаз.