饼干
几乎每个网站都知道您上次访问它的时间。 网站会让您保持登录状态并提醒您购物车,大多数用户认为这种行为是理所当然的。
得益于 Cookie,定制和个性化的魔力得以实现。 Cookie 是存储在您设备上的小信息片段,并随网站的每个请求一起发送,以帮助网站识别您的身份。
尽管 Cookie 对于提高网站的安全性和可访问性很有用,但长期以来关于用户跟踪的争论一直存在。 大多数问题涉及通过用于广告的 cookie 对整个互联网用户的骚扰,以及第三方公司如何使用此类信息进行操纵。
自电子隐私指令和 GDPR 出台以来,cookie 话题已成为在线隐私的绊脚石。
过去一个月,在卸载 Zoom(Threatspike EDR 公司)时,我们发现在卸载过程中重复访问 Google Chrome cookie:
这是非常可疑的。 我们决定做一些研究并检查这种行为是否是恶意的。
我们采取了以下步骤:
- 清除cookies
- 下载的缩放
- 单击网站 Zoom.us
- 我们访问了各种网站,包括鲜为人知的网站
- 已保存的cookie
- 删除缩放
- 我们再次保存 cookie 以进行比较并了解 Zoom 特别影响哪些 cookie。
有些cookie是在访问zoom.us网站时添加的,有些是在登录网站时添加的。
此行为是预期的。 但当我们尝试从 Windows 计算机上删除 Zoom 客户端时,我们注意到一些有趣的行为。 install.exe 文件访问并读取 Chrome Cookie,包括非 Zoom Cookie。
查看读取内容后,我们想知道 - Zoom 是否只读取某些网站的某些 cookie?
我们使用不同数量的 cookie 和不同的网站重复上述步骤。 Zoom 之所以读取流行歌星粉丝网站或意大利超市的 cookie,不太可能是信息盗窃。 根据我们的测试,读取模式类似于对自己的 cookie 进行二分搜索。
然而,通过对比删除前后的cookie,我们仍然发现了删除过程中异常且有趣的行为。 installer.exe进程写入新的cookie:
当您关闭浏览器时,没有过期日期的 Cookie(也称为会话 Cookie)将被删除。 但 NPS_0487a3ac_throttle、NPS_0487a3ac_last_seen、_zm_kms 和 _zm_everlogin_type cookie 有一个过期日期。 最后一个条目的持续时间为 10 年:
从名称“everlogin”来看,该条目确定用户是否正在使用 Zoom。 并且该记录在应用程序被删除后将保存 10 年,这一事实违反了 ePrivacy 指令:
所有持久性 cookie 都必须在其代码中写入到期日期,但其持续时间可能会有所不同。 根据隐私指令,它们的存储时间不应超过 12 个月,但实际上,除非您采取行动,否则它们可以在您的设备上保留更长时间。
跟踪互联网上的用户活动本身并不是一件可怕的事情。 然而,用户通常不会详细了解“接受所有 cookie”按钮。 通常情况下,公司是否尊重 ePrivacy,无论 GDPR 与否,都取决于公司。
这些发现使人们对整个互联网和各种服务中个人数据使用的公平性产生了怀疑。
来源: habr.com