Μπισκότα
Σχεδόν κάθε ιστότοπος γνωρίζει πότε τον επισκεφτήκατε τελευταία φορά. Οι ιστότοποι σας κρατούν συνδεδεμένους και σας υπενθυμίζουν το καλάθι αγορών σας και οι περισσότεροι χρήστες θεωρούν αυτή τη συμπεριφορά ως δεδομένη.
Η μαγεία της προσαρμογής και της εξατομίκευσης είναι δυνατή χάρη στα Cookies. Τα cookies είναι μικρά κομμάτια πληροφοριών που αποθηκεύονται στη συσκευή σας και αποστέλλονται με κάθε αίτημα σε έναν ιστότοπο για να τον βοηθήσουν να σας αναγνωρίσει.
Παρόλο που τα cookies μπορεί να είναι χρήσιμα για τη βελτίωση της ασφάλειας και της προσβασιμότητας των ιστότοπων, υπάρχει εδώ και πολύ καιρό συζήτηση σχετικά με την παρακολούθηση χρηστών. Οι περισσότερες από τις ερωτήσεις αφορούν την παρενόχληση των χρηστών σε όλο το Διαδίκτυο μέσω cookies που χρησιμοποιούνται για διαφήμιση, καθώς και πώς αυτές οι πληροφορίες μπορούν να χρησιμοποιηθούν από τρίτες εταιρείες για χειραγώγηση.
Από τότε που τέθηκαν σε ισχύ η Οδηγία για την προστασία της ιδιωτικής ζωής ηλεκτρονικών επικοινωνιών και ο GDPR, το θέμα των cookies έχει γίνει εμπόδιο για το απόρρητο στο διαδίκτυο.
Τον περασμένο μήνα, κατά την απεγκατάσταση του Zoom (μια εταιρεία Threatspike EDR), ανακαλύψαμε επαναλαμβανόμενη πρόσβαση στα cookie του Google Chrome κατά τη διαδικασία απεγκατάστασης:
Αυτό ήταν εξαιρετικά ύποπτο. Αποφασίσαμε να κάνουμε μια μικρή έρευνα και να ελέγξουμε αν αυτή η συμπεριφορά είναι κακόβουλη.
Κάναμε τα εξής βήματα:
- Διαγράφηκαν τα cookies
- Έγινε λήψη του Zoom
- Κάντε κλικ στον ιστότοπο zoom.us
- Επισκεφθήκαμε διάφορους ιστότοπους, συμπεριλαμβανομένων ελάχιστα γνωστών
- Αποθηκευμένα cookies
- Καταργήθηκε το Zoom
- Αποθηκεύαμε ξανά τα cookies για σύγκριση και για να κατανοήσουμε ποια επηρεάζει συγκεκριμένα το Zoom.
Μερικά cookie προστέθηκαν κατά την επίσκεψη στον ιστότοπο zoom.us και μερικά προστέθηκαν κατά τη σύνδεση στον ιστότοπο.
Αυτή η συμπεριφορά είναι αναμενόμενη. Αλλά όταν προσπαθήσαμε να αφαιρέσουμε το πρόγραμμα-πελάτη Zoom από έναν υπολογιστή με Windows, παρατηρήσαμε κάποια ενδιαφέρουσα συμπεριφορά. Το αρχείο install.exe έχει πρόσβαση και διαβάζει τα cookies Chrome, συμπεριλαμβανομένων των cookie που δεν είναι Zoom.
Αφού εξετάσαμε τις αναγνώσεις, αναρωτηθήκαμε - το Zoom διαβάζει μόνο ορισμένα cookies από συγκεκριμένους ιστότοπους;
Επαναλάβαμε τα παραπάνω βήματα με διαφορετικούς αριθμούς cookies και διαφορετικούς ιστότοπους. Ο λόγος για τον οποίο το Zoom διαβάζει τα cookies ενός ιστότοπου θαυμαστών ενός ποπ σταρ ή ενός ιταλικού σούπερ μάρκετ είναι απίθανο να είναι κλοπή πληροφοριών. Με βάση τις δοκιμές μας, το μοτίβο ανάγνωσης είναι παρόμοιο με μια δυαδική αναζήτηση για τα δικά της cookie.
Ωστόσο, διαπιστώσαμε ακόμα ανώμαλη και ενδιαφέρουσα συμπεριφορά κατά τη διαδικασία διαγραφής συγκρίνοντας τα cookies πριν και μετά. Η διαδικασία installer.exe εγγράφει νέα cookies:
Τα cookie χωρίς ημερομηνία λήξης (γνωστά και ως cookies περιόδου λειτουργίας) θα διαγραφούν όταν κλείσετε το πρόγραμμα περιήγησής σας. Όμως τα cookie NPS_0487a3ac_throttle, NPS_0487a3ac_last_seen, _zm_kms και _zm_everlogin_type έχουν ημερομηνία λήξης. Η τελευταία καταχώριση έχει διάρκεια 10 ετών:
Κρίνοντας από το όνομα "everlogin", αυτή η καταχώρηση καθορίζει εάν ο χρήστης χρησιμοποιούσε το Zoom. Και το γεγονός ότι αυτή η εγγραφή θα αποθηκευτεί για 10 χρόνια μετά τη διαγραφή της εφαρμογής παραβιάζει την Οδηγία ePrivacy:
Όλα τα μόνιμα cookies πρέπει να έχουν μια ημερομηνία λήξης γραμμένη στον κωδικό τους, αλλά η διάρκειά τους μπορεί να διαφέρει. Σύμφωνα με την Οδηγία Προστασίας Προσωπικών Δεδομένων, δεν θα πρέπει να αποθηκεύονται για περισσότερο από 12 μήνες, αλλά στην πράξη μπορούν να παραμείνουν στη συσκευή σας για πολύ περισσότερο, εκτός εάν προβείτε σε κάποια ενέργεια.
Η παρακολούθηση της δραστηριότητας των χρηστών στο Διαδίκτυο δεν είναι από μόνη της κάτι τρομερό. Ωστόσο, συνήθως οι χρήστες δεν θα αναφέρουν λεπτομέρειες σχετικά με το κουμπί "Αποδοχή όλων των cookies". Συχνά, εναπόκειται μόνο στην εταιρεία να σεβαστεί το ePrivacy, τον GDPR ή όχι.
Τέτοια ευρήματα θέτουν αμφιβολίες για τη δίκαιη χρήση προσωπικών δεδομένων σε ολόκληρο το Διαδίκτυο και κάθε είδους υπηρεσίες.
Πηγή: www.habr.com