Cookies - кукі
Практично кожен веб-сайт знає, коли ви відвідували його востаннє. Веб-сайти тримають вас авторизованими і нагадують вам про кошик із товарами і більшість користувачів сприймає таку поведінку як даність.
Магія кастомізації та персоналізації можлива завдяки Cookies. Cookies це невелика за обсягом інформація, яка зберігається на вашому девайсі і відправляється з кожним запитом веб-сайту та допомагає йому з вашою ідентифікацією.
Незважаючи на те, що функціонал cookies може бути корисним у підвищенні безпеки та доступності веб-сайтів, довгий час ведуться дебати на тему стеження за користувачами. Більшість питань стосується переслідування користувачів по всьому інтернету через cookies які використовуються для реклами, а так само як така інформація може бути використана сторонніми компаніями для маніпуляцій.
З того часу, як з'явилася ePrivacy директива та GDPR, тему cookies стала каменем спотикання онлайн приватності.
Протягом минулого місяця, видаляючи Zoom (компанія Threatspike EDR), ми виявили неодноразовий доступ до Google Chrome cookie у процесі видалення:
Це було дуже підозріло. Ми вирішили провести невелике дослідження і перевірити, чи ця поведінка є шкідливою.
Ми зробили такі кроки:
- Почистили файл cookie
- Завантажили Zoom
- Поклали сайт zoom.us
- Походили різними веб-сайтами, включаючи маловідомі
- Зберегли куки
- Видалили Zoom
- Зберегли куки ще раз для порівняння і щоб зрозуміти які саме зачіпає Zoom.
Частину куків було додано при відвідуванні сайту zoom.us, частину при авторизації на сайті.
Ця поведінка очікувана. Але коли ми спробували видалити Zoom клієнт з комп'ютера під керуванням Windows, ми помітили цікаву поведінку. Файл install.exe звертається до Chrome Cookies і читає, у тому числі куки, що не належать до Zoom.
Вивчивши операції читання, ми запитали — чи читає Zoom лише певні куки з певних веб-сайтів?
Ми повторили кроки, описані вище, з різною кількістю куків і з різними веб-сайтами. Причина через яку Zoom читає куки веб-сайту фанатів якоїсь поп зірки або Італійського супермаркету, навряд чи крадіжка інформації. Виходячи з наших тестів, патерн читання схожий на бінарний пошук власних кук.
Однак, ми все-таки знайшли аномальну та цікаву поведінку в процесі видалення порівнявши кукі до та після. Процес installer.exe записує нові куки:
Куки без терміну (так само відомі як сесійні куки) будуть видалені під час закриття браузера. Але куки NPS_0487a3ac_throttle, NPS_0487a3ac_last_seen, _zm_kms і _zm_everlogin_type мають термін придатності. Останній запис має термін 10 років:
Судячи з імені "everlogin" цей запис визначає чи використовував користувач Zoom. І той факт, що цей запис буде зберігатися 10 років після того, як програма була видалена, порушує ePrivacy директиву:
Усі постійні файли cookie повинні мати термін придатності, записаний у їх код, але їх тривалість може змінюватись. Відповідно до Директиви про конфіденційність, вони не повинні зберігатися довше 12 місяців, але на практиці вони можуть залишатися на вашому пристрої набагато довше, якщо ви не вживете заходів.
Спостереження за користувальницькою активністю в інтернеті не найжахливіша річ сама по собі. Однак, як правило, користувачі не будуть вдаватися в подробиці "Прийняти всі куки" кнопки. Найчастіше тільки на совісті компанії поважати ePrivacy, GDPR чи ні.
Подібні знахідки змушують засумніватися в чесності використання персональних даних у масштабах інтернету та всіляких сервісів.
Джерело: habr.com