Galletas
Casi todos los sitios web saben cuándo los visitó por última vez. Los sitios web lo mantienen conectado y le recuerdan su carrito de compras, y la mayoría de los usuarios dan por sentado este comportamiento.
La magia de la personalización y la personalización es posible gracias a las Cookies. Las cookies son pequeños fragmentos de información que se almacenan en su dispositivo y se envían con cada solicitud a un sitio web para ayudarlo a identificarlo.
Aunque las cookies pueden ser útiles para mejorar la seguridad y la accesibilidad de los sitios web, durante mucho tiempo se ha debatido sobre el seguimiento de los usuarios. La mayoría de las preguntas se refieren al acoso a los usuarios en Internet a través de cookies que se utilizan con fines publicitarios, así como a cómo dicha información puede ser utilizada por terceras empresas para su manipulación.
Desde que surgieron la Directiva ePrivacy y el RGPD, el tema de las cookies se ha convertido en un obstáculo para la privacidad en línea.
Durante el mes pasado, al desinstalar Zoom (una empresa de Threatspike EDR), descubrimos acceso repetido a las cookies de Google Chrome durante el proceso de desinstalación:
Esto fue extremadamente sospechoso. Decidimos investigar un poco y comprobar si este comportamiento es malicioso.
Tomamos los siguientes pasos:
- Cookies borradas
- Zoom descargado
- Hizo clic en el sitio zoom.us
- Visitamos varios sitios web, incluidos algunos poco conocidos.
- Galletas guardadas
- Zoom eliminado
- Guardamos las cookies nuevamente para compararlas y comprender a cuáles afecta Zoom específicamente.
Algunas cookies se agregaron al visitar el sitio web zoom.us y otras al iniciar sesión en el sitio.
Se espera este comportamiento. Pero cuando intentamos eliminar el cliente Zoom de una computadora con Windows, notamos un comportamiento interesante. El archivo install.exe accede y lee las cookies de Chrome, incluidas las cookies que no son de Zoom.
Después de ver las lecturas, nos preguntamos: ¿Zoom solo lee determinadas cookies de determinados sitios web?
Repetimos los pasos anteriores con diferentes números de cookies y diferentes sitios web. Es poco probable que Zoom lea las cookies del sitio web de fans de una estrella del pop o de un supermercado italiano sea un robo de información. Según nuestras pruebas, el patrón de lectura es similar a una búsqueda binaria de sus propias cookies.
Sin embargo, todavía encontramos un comportamiento anómalo e interesante durante el proceso de eliminación al comparar las cookies antes y después. El proceso installer.exe escribe nuevas cookies:
Las cookies sin fecha de caducidad (también conocidas como cookies de sesión) se eliminarán cuando cierre su navegador. Pero las cookies NPS_0487a3ac_throttle, NPS_0487a3ac_last_seen, _zm_kms y _zm_everlogin_type tienen fecha de caducidad. La última entrada tiene una duración de 10 años:
A juzgar por el nombre "everlogin", esta entrada determina si el usuario estaba usando Zoom. Y el hecho de que este registro se almacene durante 10 años después de que se haya eliminado la aplicación viola la directiva ePrivacy:
Todas las cookies persistentes deben tener una fecha de vencimiento escrita en su código, pero su duración puede variar. Según la Directiva de privacidad, no deben almacenarse durante más de 12 meses, pero en la práctica pueden permanecer en su dispositivo durante mucho más tiempo a menos que usted tome medidas.
El seguimiento de la actividad de los usuarios en Internet no es algo terrible en sí mismo. Sin embargo, normalmente los usuarios no entran en detalles sobre el botón "Aceptar todas las cookies". A menudo, depende únicamente de la empresa respetar la privacidad electrónica, independientemente del RGPD o no.
Estos hallazgos arrojan dudas sobre la imparcialidad del uso de datos personales en todo Internet y en todo tipo de servicios.
Fuente: habr.com