Koekjes
Bijna elke website weet wanneer u deze voor het laatst heeft bezocht. Websites houden u ingelogd en herinneren u aan uw winkelwagentje, en de meeste gebruikers beschouwen dit gedrag als vanzelfsprekend.
De magie van maatwerk en personalisatie is mogelijk dankzij Cookies. Cookies zijn kleine stukjes informatie die op uw apparaat worden opgeslagen en bij elk verzoek naar een website worden verzonden om u te helpen identificeren.
Hoewel cookies nuttig kunnen zijn bij het verbeteren van de veiligheid en toegankelijkheid van websites, bestaat er al lang discussie over het volgen van gebruikers. De meeste vragen hebben betrekking op de intimidatie van gebruikers op internet via cookies die worden gebruikt voor reclame, en ook op de manier waarop dergelijke informatie door externe bedrijven kan worden gebruikt voor manipulatie.
Sinds de ePrivacy-richtlijn en de AVG tot stand zijn gekomen, is het onderwerp cookies een struikelblok geworden voor online privacy.
Tijdens het verwijderen van Zoom (een Threatspike EDR-bedrijf) ontdekten we de afgelopen maand herhaaldelijk toegang tot Google Chrome-cookies tijdens het verwijderingsproces:
Dit was uiterst verdacht. We hebben besloten wat onderzoek te doen en na te gaan of dit gedrag schadelijk is.
Wij hebben de volgende stappen ondernomen:
- Cookies gewist
- Zoom gedownload
- Klikte op de site zoom.us
- We bezochten verschillende websites, waaronder weinig bekende
- Opgeslagen koekjes
- Zoom verwijderd
- We hebben de cookies opnieuw opgeslagen ter vergelijking en om te begrijpen welke cookies specifiek door Zoom worden beïnvloed.
Sommige cookies zijn toegevoegd bij een bezoek aan de website zoom.us, en sommige zijn toegevoegd bij het inloggen op de site.
Dit gedrag wordt verwacht. Maar toen we probeerden de Zoom-client van een Windows-computer te verwijderen, merkten we interessant gedrag op. Het bestand install.exe heeft toegang tot en leest Chrome-cookies, inclusief niet-Zoom-cookies.
Nadat we de metingen hadden bekeken, vroegen we ons af: leest Zoom alleen bepaalde cookies van bepaalde websites?
We hebben bovenstaande stappen herhaald met verschillende aantallen cookies en verschillende websites. De reden waarom Zoom de cookies van de fanwebsite van een popster of een Italiaanse supermarkt leest, is waarschijnlijk geen informatiediefstal. Op basis van onze tests is het leespatroon vergelijkbaar met een binaire zoektocht naar eigen cookies.
We ontdekten echter nog steeds afwijkend en interessant gedrag tijdens het verwijderingsproces door de cookies ervoor en erna te vergelijken. Het proces installer.exe schrijft nieuwe cookies:
Cookies zonder vervaldatum (ook wel sessiecookies genoemd) worden verwijderd wanneer u uw browser sluit. Maar de cookies NPS_0487a3ac_throttle, NPS_0487a3ac_last_seen, _zm_kms en _zm_everlogin_type hebben een vervaldatum. De laatste inschrijving heeft een looptijd van 10 jaar:
Afgaande op de naam "everlogin" bepaalt deze invoer of de gebruiker Zoom gebruikte. En het feit dat dit record gedurende 10 jaar wordt bewaard nadat de applicatie is verwijderd, is in strijd met de ePrivacy-richtlijn:
Voor alle permanente cookies moet een vervaldatum in de code zijn geschreven, maar de duur ervan kan variëren. Volgens de Privacyrichtlijn mogen ze niet langer dan 12 maanden bewaard worden, maar in de praktijk kunnen ze veel langer op je apparaat blijven staan, tenzij je actie onderneemt.
Het volgen van gebruikersactiviteiten op internet is op zichzelf geen verschrikkelijke zaak. Normaal gesproken zullen gebruikers echter niet in detail treden over de knop 'Alle cookies accepteren'. Vaak is het alleen aan het bedrijf om ePrivacy te respecteren, AVG of niet.
Dergelijke bevindingen doen twijfel rijzen over de eerlijkheid van het gebruik van persoonlijke gegevens op het hele internet en allerlei diensten.
Bron: www.habr.com