Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 56 reacties

Enkele extensies voor Firefox en Chrome vergaren op de achtergrond data over hun gebruikers. Het zou gaan om zaken als de browsergeschiedenis, OAuth-tokens, cookies en request headers. De data zou worden verkocht aan analytics-diensten.

De bevindingen worden gemeld door Frans Rosén en Linus Särud van het Zweedse Detectify Labs. De extensies in kwestie zouden gebruikmaken van third-party-scripts om de gegevens te verzamelen en met regelmaat te versturen naar de analytics-diensten. De extensies hebben toegang tot de webpagina's die de gebruiker bezoekt onder het mom van hun eigen functionaliteit. Zelfs extensies als Ghostery, die juist bedoeld zijn om tracking te voorkomen, helpen niet tegen deze extensies omdat ze zich richten op het web en niet op andere extensies.

De auteurs noemen meerdere Chrome-extensies die gebruik zouden maken van de tracking scripts. Daaronder vallen extensies als HoverZoom, SpeakIt en Free Smileys & Emoticons. Deze voorbeelden hebben tussen de 750.000 en 1,1 miljoen gebruikers. Het zou in ieder geval gaan om een twintigtal Chrome-extensies. Als voorbeeld van een Firefox-extensie die hiermee werkt, noemt het bedrijf Ant Video Downloader, met 409.000 gebruikers.

De Zweden zeggen met tests te hebben kunnen verifiëren dat het browsegedrag van individuele gebruikers met de extensies in kwestie na twee weken terug is te vinden bij een niet nader genoemde analytics-dienst. Zelfs links binnen interne privénetwerken en pdf-bestandsnamen verschenen in de databanken van de dienst. Ook Google Drive- en Dropbox-links om bestanden te delen, worden verstuurd met de extensies. Wanneer deze bestanden toegankelijk zijn voor iedereen die de link heeft, zijn de bestanden dus eigenlijk niet meer privé.

Volgens de onderzoekers zouden de extensies in sommige gevallen zelfs een tracking-script-sdk aan boord hebben, die in staat is om nieuwe Javascript-code te downloaden, op te slaan en uit te voeren. Die zou losstaan van de functionaliteit van de extensie zelf en is alleen aanwezig om de tracking uit te voeren. Door de tracking-code buiten de Chrome Web Store en Firefox Add-ons-website om te downloaden, kunnen de filters tegen dit soort scripts van die twee distributiepunten ook omzeild worden.

In sommige gevallen kunnen gebruikers de tracking wel uitschakelen binnen de opties van de extensies, maar het kan ook weer voorkomen dat een update voor de extensies deze optie weer terugdraait naar zijn standaardinstelling. Detectify stelt dat de beheerders van de extensies in kwestie ongeveer 4 dollarcent per installatie per maand krijgen, wat zich vertaalt naar 40.000 dollar per maand bij een miljoen installaties.

Sommige extensies maken melding van de dataverzameling in de beschrijvingen op de Web Stores, terwijl anderen dat juist niet doen. De agressieve dataverzamelingspraktijken zijn hoe dan ook in strijd met de regels van Content Security Policy van de Chrome Web Store. Een soortgelijke situatie deed zich in oktober ook voor op iOS en Android. Daar zou de Youmi advertising-sdk ook tracking scripts bevatten. Toen zijn ongeveer 250 apps uit de App Store verwijderd.

Moderatie-faq Wijzig weergave

Reacties (56)

Here are the extensions the post lists that users should watch out for:

HoverZoom
SpeakIt
Free Smileys & Emoticons
EagleGet Free Downloader
ProxFlow
Emoji Input
Instant Translate
FB Color Changer
Flash Player+
SuperBlock Adblocker
SafeBrowse
JavaScript Errors Notifier
Goede reden dus om Firefox te draaien, met enkel addons uit de official addon store. De meeste addons kun je al downloaden uit deze store, en worden handmatig beoordeeld en geverifieerd, Ja, dit levert inderdaad wat gedoe op als ontwikkelaar (soms lange wachtijden) maar brengt wel dat extra stukje veiligheid.
Door de tracking-code buiten de Chrome Web Store en Firefox Add-ons-website om te downloaden, kunnen de filters tegen dit soort scripts van die twee distributiepunten ook omzeild worden.
Als voorbeeld van een Firefox-extensie die hiermee werkt, noemt het bedrijf Ant Video Downloader, met 409.000 gebruikers.
Die staat helaas op mozilla.org en is dus "geverifieerd"...
https://addons.mozilla.or.../video-downloader-player/

Ik ben zelf ook verstokt Firefox-gebruiker en zou niet switchen, maar we moeten niet de illusie hebben dat Firefox beveiligd is tegen malafide extensies...

[Reactie gewijzigd door Cerberus_tm op 21 november 2015 02:33]

Alle add-ons op addons.mozilla.org handmatig beoordeeld. Dan nog is het mogelijk dat een add-on (privacy-gevoelige) informatie verzenden naar andere sites, maar dit moet dan duidelijk worden vermeld in de omschrijving en privacy policy (Review policies).

In de Chrome Web Store worden extensies automatisch beoordeeld (dit is helemaal niet waterdicht), en staat het woord privacy nauwelijks in de program policies.

Dus als je erg op je beveiliging en privacy gesteld ben, gebruik of Firefox, of alleen maar Chrome extensies die je zelf heb gemaakt (of van echt betrouwbare partijen, of extensies zonder permissies).
I know, en ik gebruik ook Firefox. Maar toch is zelfs Firefox niet veilig voor dit soort aanvallen.
Het zijn ook niet echt aanvallen... Het zijn extensies en extensies mogen dit codetechnisch. Regeltechnisch is het dodgy natuurlijk, maar regels zijn ook maar regels.

Je kunt twee dingen doen: de extensie niet installeren of deinstalleren, zodra je em verdenkt van dit soort privacyschending. En daarna natuurlijk aangeven bij Mozilla.
Ik vind het schadelijk gedrag en beschouw het als een aanval op mijn privacy.
Vind ik ook, maar extensies hebben toegang tot het internet en toegang tot dingen die jij doet. Dus het technisch onvermijdelijk.

Maar het zal vast niet mogen, dus ik zou ze dan maar aangeven als malafide als ik jou was.
Correct, er zullen her en der nog wat door het net glippen. Maar het handmatig beoordelen van de code is toch vele malen beter dan automatische filters.
Dat is zeker zo... Maar toch moeten we zelfs bij Firefox oplettend zijn.
Persoonlijk vind ik de namen van al deze add-ins al vrij dubieus klinken (superblock adblocker???). Zie veel voorbij komen, maar van geen enkele add-in heb ik ooit gehoord en overigens ziet de helft van deze add-ins er uit als "totally useless and completely unsafe". Maar dat terzijde het is al erg zat dat het internet zo ontzettend veel gemonitord wordt, ieder bedrijf heeft zo wel zijn redenen en de voorwaarden bij ieder bedrijf zijn zo verschillend dat als je bij bedrijf A iets niet wilt delen en het bij bedrijf B wel wilt/moet, dat bedrijf B de data weer doorstuurt naar bedrijven waar bedrijf A weer wel recht heeft op het inzien van de data, dat het in principe niet uitmaakt of je data bij A of bij B deelt, uiteindelijk komt alle data weer bij elkaar terecht en zijn je gegevens in principe nog steeds niet veilig, het verschil is dat het meer tijd kost dan simpelweg bij beide bedrijven delen toe te staan.

Een goed voorbeeld is Facebook die niet alleen facebookgebruikers monitord, maar ook niet-facebookgebruikers. Ook websites die niet met facebook verbonden zijn worden door facebook gescand. In principe zal de gewone consument hier weinig last van hebben. Ik denk dat als men data echt veilig wil houden, dan moet deze niet met internet verbonden zijn en het beste nog om geen radio (BT of Wi-Fi etc.) aan boord te hebben en het liefst met besturingssystemen die niemand kent/meer kent of gebruikt.
mooi, ik heb er geen enkele geinstalleerd. jeej! ehm...je quote er maar 12....waar zijn de overige 9?
De agressieve dataverzamelingspraktijken zijn hoe dan ook in strijd met de regels van Content Security Policy van de Chrome Web Store.
Dat is ook raar, want Google houdt er zelf ook dit soort praktijken op na met hun browser.
[...]

Dat is ook raar, want Google houdt er zelf ook dit soort praktijken op na met hun browser.
Google duldt gewoon geen concurrentie ;)
Het vreemde is dat dit bedrijf dit zomaar ongestraft kan doen, en dat burgers hier niet tegen beschermt worden, het bedrijf in kwestie zou flink beboet moeten worden, de directie zou bestraft horen te worden met een celstraf en alle data die ze "gestolen" hebben dient vernietigt te worden... en er dienen wetten te komen die burgers hiertegen beschermen. zucht... dream on...
daar zouden ze een referendum over moeten houden...

[Reactie gewijzigd door Hephaestus op 20 november 2015 20:34]

er dienen wetten te komen die burgers hiertegen beschermen. zucht... dream on...
daar zouden ze een referendum over moeten houden...
Dit soort tracking mag in Europa enkel plaatsvinden als gebruikers expliciet en ondubbelzinnig toestemming hebben gegeven en vereist daarnaast volledige openheid over exact welke gegevens verzameld worden en voor exact welke doeleinden ieder gegeven gebruikt gaat worden.

Dat valt allemaal onder de kap van wat in de volksmond 'de cookiewet' heet. (Briljante spin van de advertentie-industrie lobby om met zo'n achterlijke naam de wetgeving op zo een manier te trivialiseren, trouwens...)

Het probleem is alleen dat een wet op zich geen zoden aan de dijk zet als niemand de naleving ervan afdwingt.
[...]


Dit soort tracking mag in Europa enkel plaatsvinden als gebruikers expliciet en ondubbelzinnig toestemming hebben gegeven en vereist daarnaast volledige openheid over exact welke gegevens verzameld worden en voor exact welke doeleinden ieder gegeven gebruikt gaat worden.
'In Europa'. Heel leuk, als het bedrijf in de VS is gevestigd. :z

De cookiewet (of hoe die wet ook moge heten, ik heb geen betere namen gehoord die een gewone niet-jurist uit het hoofd kan opschrijven als een enkel woord) is iets waar Europa zich voor moet schamen. Wat was het doel? Dat bedrijven meer openheid geven? Of om de gebruiker bij het bezoek van elke site lastig te vallen met een in-your-face popup bericht dat eist dat je cookies accepteert omdat je anders niet door mag gaan?

Dat laatste is namelijk van toepassing, terwijl er geen meer bewustwording is gekomen bij de gebruikers. Sterker nog, het 'klik gauw weg' gedrag wordt gevoed, iets waarvan men sinds de introductie van Windows Vista's User Account Control weet dat dat het tegenovergestelde effect bereikt van wat je eigenlijk wilt.

[Reactie gewijzigd door The Zep Man op 20 november 2015 21:14]

Bedrijven in de VS mogen je surfgedrag hier niet zomaar bewaren en gebruiken. Zeker in BelgiŽ niet. Kijk naar Facebook, die hebben onlangs het deksel op de neus gehad.
Maar Facebook richt zich ook expliciet op BelgiŽ. Als een bedrijf extensies aanbiedt en iemand in de EU installeert dat maar verder richten zijn zich niet direct op de EU markt kan er niets tegen doen. Tenzij je het internet wilt afsluiten vanuit de EU om dit soort zaken te verbieden....
Klopt, maar, blijft het feit dat deze bedrijven het surfgedrag van Eu burgers registreren terwijl dit, minstens in BelgiŽ, niet zomaar kan. De extensie wordt op een Belgische pc geÔnstalleerd, dus de vergaring van de surfgegevens gebeurt op het Belgisch grondgebied. Het is dus onderhevig aan de Belgische wetgeving.
In de VS mogen bedrijven ook geen privacy gegevens verzamelen en opslaan. De wet is daar een tikje strenger dan in Europa. De wet geld daar echter alleen binnen de VS. Privacygegevens die verzameld worden van buiten de VS mogen daar dus van hartelust verzameld, opgeslagen en verkocht worden.
Bedrijven die in Europa actief zijn moeten ook aan de plaatselijke wet voldoen. Nu is het op internet niet altijd duidelijk of een bedrijf in een land actief is. Als men er een kantoor heeft of een website waar de taal van een land kan worden gekozen is het ook duidelijk.
Facebook heeft dat inmiddels ondervonden.

De handhaving is echter aan lastig punt. Buitenlandse bedrijven zijn nauwelijks aan te passen en daarnaast is de bewijslast (voor een particulier) erg lastig.
Als je MS Windows draait moet je niet zeuren.
Ok, dan mogen Linux gebruikers ook niet meer zeuren dat de driversupport van fabrikanten veelal ruk is. Moeten ze maar geen Linux nemen. En mensen in de buurt van Chemelot moeten niet zeuren als daar een keer iets flink misgaat, moeten ze maar niet in de buurt van Chemelot wonen. En mensen in Noord-Korea moeten niet zeuren als ze zonder reden in een martelkamp opgesloten worden, moeten ze maar niet in Noord-Korea wonen... :z

[Reactie gewijzigd door Neko Koneko op 23 november 2015 10:43]

Is er ergens een lijst beschikbaar met add-ons die zich hiermee bezig houden? In het artikel staan er enkele, in de bron een paar meer maar dat lijkt me niet de volledige lijst...
Zo te zien gaat het niet om de echte grote jongens. In het bronartikel staat ook een searchstring waarmee je kan zoeken op de voorwaarden van extensies die aangeven dat er tracking plaatsvindt:

Try yourself, just by googling: site:chrome.google.com “In order to continuously improve and maintain this software we work with” will show some of the extensions using one of the tracking providers out there.

Met die string vind je vooral de extensies die de onderzoekers noemen. Ook zie je dan dat het om het bedrijf 'Fairshare' gaat.
Everybody keep calm please, there's no reason to panic!

https://www.fairsharelabs.com/ceo-message
Dit is al langere tijd bekend, vooral ad blockers doen dit, het merendeel trouwens gewoon met respect voor je privacy.

Ghostery, wat in het artikel word aangehaald, haalt (volgens eigen zeggen) al hun inkomsten uit het doorverkopen van (niet gepersonalizeerde) statistieken. (vroeger Ghostery Enterprise, nu schijnbaar Ghostery MCM)
In Ghostery:
Als die optie al gerespecteerd wordt, je kunt het volgens mij gewoon uit zetten.

[Reactie gewijzigd door Canule op 21 november 2015 01:02]

Ghostrank heet die optie.
"Wanneer u Ghostrank™ inschakelt, zal Ghostery anonieme gegevens verzamelen over de trackers die u op het web tegenkomt en de sites waarop ze werden geplaatst. Deze gegevens hebben alleen betrekking op het bijhouden van elementen en de webpagina's waarop ze werden gevonden, en gaan niet over u of uw surfgedrag ."
"Gegevens van Ghostrank die met bedrijven worden gedeeld, bevatten nooit gegevens over Ghostery-gebruikers."
In Firefox blijft deze bij mij uit, geen idee hoe dat zit met Chrome. En ik hoop ook dat deze optie gerespecteerd wordt.
Ghostery is toch een erg fijne adblocker, vanwege dat je zelf kan bepalen welke soort ads je wilt blokkeren.
SearchPreview (Firefox, Chrome, 300.000 gebruikers) stuurt ook al je zoekopdrachten door naar een third-party. Daarnaast doen ze dit ook nog onversleuteld. Dit zelfs als je Google met SSL gebruikt!

Edit: Ik heb zelf nog even met Wireshark gekeken, er wordt bijvoorbeeld 1 HTTP-post request gedaan naar Alexa.com met daarin onversleuteld de hele url van je Google-zoekopdracht. Dus o.a. je zoektermen en eventuele instellingen worden zo onversleuteld naar in ieder geval een partij verstuurd!

[Reactie gewijzigd door TheodoorDG op 21 november 2015 00:48]

Gebruikers vinden het een schande dat plugins hun tracken terwijl ze Chrome gebruiken, met Google als zoekmachine, Malware bescherming "bescherming" (stuur alles door naar Google voor je "veiligheid") en dan niks klagen hebben als Google het doet 8)7
Mensen weten dat Google dat doet. Google wordt ook voldoende in het oog gehouden als grote bekende speler. Van extensies verwacht men zoiets niet, en daar zitten allerlei schimmige onbekende bedrijven achter die zich helemaal niets van de wet aantrekken.
Als jij het verschil daar niet tussen ziet ... 8)7
Heel goed onder het oog genomen door de NSA ja.
Google is net zo erg als de trackende plugins :+
If the product is free, you are the product
idd, blijf het bizar vinden dat mensen daar nog steeds van opkijken en dat absoluut niet verwacht hadden.
Dat is generaliseren. Mensen met voldoende kennis en inzicht hebben hier geen last van. Er moet wel een deur voor opengezet worden om iets dergelijks mogelijk te maken.

Wat hier naar mijn idee technisch verkeerd is: je gebruikt al een platform, je OS, die als het goed is voldoende veiligheidsmaatregelen kent om dergelijke grappen te voorkomen. Vervolgens ga je een aantal van je activiteiten doorschuiven naar een alternatief sub-platform 'browser-extensies', een vrij complete runtime-omgeving met default dezelfde permissies als je browser, buiten beeld van je OS...

[Reactie gewijzigd door blorf op 21 november 2015 09:55]

En vervolgens zullen mensen wel steigeren als add ons betaald zouden worden. Als het niet of amper loont voor een ontwikkelaar houdt het ook een keer op.
Het beste is natuurlijk om zo min mogelijk extensies en add-ons te installeren. Je browser wordt er alleen maar langzamer van en wordt zo lek als een mandje. Sowieso zou ik heel voorzichtig zijn met alle software (dus niet alleen extensies) waar het woordje 'free' in voorkomt, zoals de omschreven add-on 'Free Smileys & Emoticons'. Bij zo'n naam gaan mij al de nekharen overeind staan. Heb al vaker dergelijke ellende van de laptop van mijn ma moeten verwijderen omdat ze allemaal advertenties op het scherm kreeg.
Toch zijn extensies die gevaarlijke add servers blokkeren toch wel van toegevoegde waarde. De vraag is enkel welke is nog betrouwbaar.
Ik zeg ook niet dat je helemaal geen extensies moet installeren - enkel zo min mogelijk.
Jammer. Ik gebruik al een tijdje HoverZoom. :( Misschien toch maar eens kijken naar een vervanger.

Edit: Deze optie maar gelijk uitgezet: Enable anonymous usage statistics.
Turning this off will disable data submission to any third party.

[Reactie gewijzigd door josje94 op 20 november 2015 22:25]

als je chrome gebruikt kan je kijken naar "imagus" een veel uitgebreidere variant van hoverzoom.
Jammer dat het om "niet nader genoemde bedrijven" gaat. Wat mij betreft mogen ze aan de publieke schandpaal genageld worden!
Dan hoop ik dat er snel een update komt van de browsers die deze functionaliteit volledig blokkeert.
Dat je met installeren van extensies het risico hebt dat je browsegeschiedenis (inclusief dropbox/drive links!) uitgelezen kan worden vind ik al erg, maar dat ze blijkbaar ook nog code op afstand kunnen uitvoeren vind ik nog schadelijker... eigenlijk heb je hier dus een commercieel botnet?!
Dus jij vindt dat het extensies onmogelijk gemaakt moet worden om te zien op welke site je bent? Dan kunnen ze beter ineens extensies verbieden want in de meeste gevallen is het net de bedoeling van extensies dat ze iets doen met die site...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True