Cookies - печыва
Практычна кожны вэб-сайт ведае, калі вы наведвалі яго ў апошні раз. Вэб-сайты трымаюць вас аўтарызаванымі і нагадваюць вам пра кошык з таварамі і большасць карыстальнікаў успрымае такія паводзіны як дадзенасць.
Магія кастамізацыі і персаналізацыі магчыма дзякуючы кукі. Cookies гэта невялікая па аб'ёме інфармацыя якая захоўваецца на вашым дэвайсе і адпраўляецца з кожным запытам вэб-сайту і дапамагае яму з вашай ідэнтыфікацыяй.
Нягледзячы на тое, што функцыянал cookies можа быць карысны ў падвышэнні бяспекі і даступнасці вэб сайтаў, доўгі час вядуцца дэбаты на тэму сачэння за карыстачамі. Вялікая частка пытанняў дакранаецца пераследу карыстачоў па ўсім інтэрнэце праз cookies якія выкарыстоўваюцца для рэкламы, а гэтак жа то як такая інфармацыя можа быць скарыстана іншымі кампаніямі для маніпуляцый.
З таго часу, як з'явілася ePrivacy дырэктыва і GDPR, тэму cookies стала каменем спатыкнення анлайн прыватнасці.
На працягу мінулага месяца, выдаляючы Zoom (кампанія Threatspike EDR), мы выявілі неаднаразовы доступ да Google Chrome cookie падчас выдаленняў:
Гэта было вельмі падазрона. Мы вырашылі правесці невялікае даследаванне і праверыць ці з'яўляецца гэтыя паводзіны шкодным.
Мы прарабілі наступныя крокі:
- Пачысцілі печыва файл
- Спампавалі Zoom
- Паклацалі сайт zoom.us
- Паходзілі па розных вэб-сайтах, у тым ліку малавядомыя
- Захавалі печыва
- Выдалілі Zoom
- Захавалі печыва яшчэ раз для параўнання і што б зразумець якія канкрэтна закранае Zoom.
Частка куков была дададзена пры наведванні сайта zoom.us, частка пры аўтарызацыі на сайце.
Гэтыя паводзіны чакана. Але калі мы паспрабавалі выдаліць Zoom кліент з кампутара пад кіраваннем Windows – мы заўважылі цікавыя паводзіны. Файл install.exe звяртаецца да Chrome Cookies і чытае, у тым ліку печыва не якія адносяцца да Zoom.
Вывучыўшы аперацыі чытання, мы задаліся пытаннем – ці чытае Zoom толькі пэўныя печыва з пэўных вэб-сайтаў?
Мы паўтарылі крокі апісаныя вышэй з рознай колькасцю куков і з рознымі вэб сайтамі. Чыннік па якой Zoom чытае печыва вэб сайта фанатаў нейкі поп зоркі ці Італьянскага супермаркета, ці наўрад крадзеж інфармацыі. Зыходзячы з нашых тэстаў, патэрн чытання падобны на бінарны пошук уласных кук.
Аднак, мы ўсё ж знайшлі анамальныя і цікавыя паводзіны ў працэсе выдалення параўнаўшы печыва да і пасля. Працэс installer.exe запісвае новыя печыва:
Кукі без тэрміна (гэтак жа вядомыя як сесійныя куки) будуць выдаленыя пры зачыненні браўзэра. Але печыва NPS_0487a3ac_throttle, NPS_0487a3ac_last_seen, _zm_kms and _zm_everlogin_type маюць тэрмін прыдатнасці. Апошні запіс мае тэрмін 10 гадоў:
Мяркуючы па імі "everlogin" гэты запіс вызначае ці выкарыстоўваў карыстальнік Zoom. І той, факт, што гэты запіс будзе захоўвацца 10 гадоў пасля таго як прыкладанне было выдаленае, парушае ePrivacy дырэктыву:
Ва ўсіх пастаянных файлаў cookie павінен быць тэрмін прыдатнасці, запісаны ў іх код, але іх працягласць можа вар'іравацца. Згодна з Дырэктывай аб канфiдэнцыяльнасцi, яны не павінны захоўвацца даўжэй 12 месяцаў, але на практыцы яны могуць заставацца на вашым прыладзе нашмат даўжэй, калі вы не прымеце меры.
Сачэнне за карыстацкай актыўнасцю ў інтэрнэце не самая жахлівая рэч сама па сабе. Аднак, як правіла карыстачы не будуць удавацца ў падрабязнасці "Прыняць усе куки" кнопкі. Часцяком, толькі на сумленні кампаніі паважаць ePrivacy, GDPR ці не.
Падобныя знаходкі прымушаюць усумніцца ў сумленнасці выкарыстання персанальных дадзеных у маштабах усяго інтэрнэту і разнастайных сэрвісаў.
Крыніца: habr.com