Buen dia
Todo comenz贸 hace medio a帽o. Estamos trabajando como un peque帽o equipo en un proyecto, el proyecto ya se lanz贸 en la red y ha estado funcionando con 茅xito durante varios meses. De alguna manera, comenc茅 a hablar sobre estad铆sticas de visitas, fuentes de referencias de usuarios y similares. Los gerentes me enviaron un enlace a la p谩gina SimilarWeb con nuestro recurso. Lo que vi me dej贸 perplejo. Adem谩s de otra informaci贸n, la p谩gina contiene informaci贸n sobre subdominios que SimilarWeb encontr贸. Imagine mi sorpresa cuando vi en los 5 subdominios principales los internos que solo usan los empleados y no son accesibles desde el exterior (como jira.mycomp.org, ci.mycomp.org, git.mycomp.org).
Solo se me ocurri贸 una cosa: alguien en el equipo ten铆a alg煤n tipo de maldad que fusionaba datos por las URL visitadas. Parte del equipo trabaja de forma remota, todos tienen diferentes sistemas operativos y navegadores. Habl贸 con cada uno individualmente, pidi贸 escanear el sistema con antivirus, solicit贸 una lista de extensiones utilizadas.
Google ha publicado varios art铆culos sobre la compra de SimilarWeb de la extensi贸n con estilo. Me puse esta aplicaci贸n y me asegur茅 de que realmente combina los datos. C贸mo funciona: al instalar la extensi贸n, acepta los t茅rminos de la recopilaci贸n de datos (y en este momento la aplicaci贸n est谩 en la tienda y no oculta el hecho de que los datos se recopilar谩n para SimilarWeb). Adem谩s, cuando va a cualquier p谩gina (incluso en https), la extensi贸n en segundo plano comienza a enviar datos a la url h___s: //userstylesapi.com/tic/stats. Se ve as铆:
El par谩metro
e en
FormData contiene datos doblemente envueltos en Base64:
ZG0xMFBUTW1iR0YyUFRJeEpuZDJQVEVtWjNJOU1pNHdMamttY0hobFBURm5aamhwTjJnNU5qVTVOekZ4ZERob05tTTVhamc0T0hCME5DWnpiblU5Sm1kd1BXaDBkSEJ6SlROQkpUSkdKVEpHZFhObGNuTjBlV3hsY3k1dmNtY2xNa1p6ZEhsc1pYTWxNa1ppY205M2MyVWxNa1p1WlhkbGMzUXRjM1I1YkdWekptTm9QVGttWkdrOVlUTmxNMlV5WVRneA== vmt=3&lav=21&wv=1&gr=2.0.9&pxe=1gf8i7h965971qt8h6c9j888pt4&snu=&gp=https%3A%2F%2Fuserstyles.org%2Fstyles%2Fbrowse%2Fnewest-styles&ch=9&di=a3e3e2a81
Por lo tanto, con cada clic, la informaci贸n se transmite a las URL visitadas.
Limpiaron las computadoras de trabajo y del hogar, eliminaron la extensi贸n de quienes la ten铆an y escribieron las instrucciones para el futuro. Todo lo que quedaba era esperar. Los datos de SimilarWeb se actualizan en un mes.
Sin embargo, pasaron dos meses y la situaci贸n no cambi贸. Los dominios continuaron colgando en la lista de recursos. Entonces no todos fueron limpiados. Decidimos calcular el "estafador" de otra manera. Para cada miembro del equipo, se cre贸 una URL especial del siguiente formulario: coder-124.mycomp.ru, coder-523.mycomp.ru, etc. Le dieron la tarea de ir a esta URL a diario y hacer unos pocos clics, el proceso fue monitoreado para que nadie lo olvidara. Despu茅s de un mes de intimidaci贸n a los desarrolladores, todav铆a obtuvimos los frutos. Una de las URL estaba al final de la lista. Se encuentra el objetivo, queda por comprender c贸mo se fusionan los datos.
El resultado fue sorprendente, la extensi贸n de Chrome verti贸 los datos ... Pero no con estilo ... Al final result贸 que, la extensi贸n de
Frigate verti贸 los datos. Cuando se instala, la extensi贸n muestra el siguiente mensaje:
Digamos ... Luego, observamos c贸mo transmite estos datos:
Cuando va a cualquier p谩gina con dos URL (me pregunto por qu茅 dos), se env铆an los siguientes datos:
El par谩metro
e en
FormData contiene datos doblemente envueltos en Base64:
Y3oweE9ERTBKbTFrUFRJeEpuQnBaRDFzWW5keE1FeHBTVW8xZFhFeWFEY21jMlZ6Y3owMU56TXpNVFl6TWpVeU1EazJOemd3TURBbWMzVmlQV05vY205dFpTWnhQV2gwZEhCekpUTkJMeTltY21rdFoyRjBaUzV2Y21jdmNuVXZKbWh5WldabGNtVnlQV2gwZEhCekpUTkJMeTkzZDNjdVoyOXZaMnhsTG5KMUx5WndjbVYyUFdoMGRIQnpKVE5CTHk5bWNta3RaMkYwWlM1dmNtY3ZjblV2Sm5SdGRqMDBNREUxSm5SdFpqMHhMakU9 s=1814&md=21&pid=lbwq0LiIJ5uq2h7&sess=573316325209678000&sub=chrome&q=https%3A//fri-gate.org/ru/&hreferer=https%3A//www.google.ru/&prev=https%3A//fri-gate.org/ru/&tmv=4015&tmf=1.1
No creo que todos estos datos sean necesarios para seleccionar un servidor proxy. Y los mecanismos son muy similares.
Por cierto, no existe tal funcionalidad en la extensi贸n friGate Light ...
En lugar de una conclusi贸n.
Puedo suponer que si se encuentra una segunda extensi贸n, habr谩 una tercera y una cuarta. Lo m谩s probable es que este m茅todo de colaboraci贸n entre SimilarWeb y los desarrolladores de extensiones de navegador se desarrolle a煤n m谩s. Le insto a que verifique sus extensiones (Chrome, Firefox, no importa) y si encuentra algo as铆, escriba los comentarios. Es interesante saber qu茅 tan profundo es el problema.
Y recuerda, el hermano mayor siempre te est谩 mirando :)
Todo lo mejor