Bom dia
Tudo começou meio ano atrás. Estamos trabalhando como uma pequena equipe em um projeto, o projeto já foi lançado na rede e está funcionando com sucesso há vários meses. De alguma forma, comecei a falar sobre estatísticas de visitas, fontes de referência de usuários e similares. Os gerentes me enviaram um link para a página SimilarWeb com nosso recurso. O que eu vi me intrigou muito. Além de outras informações, a página contém informações sobre subdomínios encontrados pela SimilarWeb. Imagine minha surpresa quando vi nos 5 principais subdomínios internos que são usados apenas por funcionários e que não são acessíveis externamente (como jira.mycomp.org, ci.mycomp.org, git.mycomp.org).
Apenas uma coisa veio à mente: alguém da equipe tinha algum tipo de maldade que mesclava dados pelos URLs visitados. Parte da equipe trabalha remotamente, todos têm diferentes sistemas operacionais e navegadores. Ele conversou com cada um individualmente, pediu para verificar o sistema com antivírus, solicitou uma lista de extensões usadas.
O Google publicou vários artigos sobre a compra da extensão Stylish da SimilarWeb. Eu coloquei esse aplicativo para mim e verifiquei se ele realmente mescla os dados. Como funciona: ao instalar a extensão, você concorda com os termos da coleta de dados (e no momento em que o aplicativo está na loja e não oculta o fato de que os dados serão coletados para o SimilarWeb). Além disso, ao acessar qualquer página (mesmo em https), a extensão em segundo plano começa a enviar dados para o URL h___s: //userstylesapi.com/tic/stats. É assim:
O parâmetro
e no
FormData contém dados duplicados em Base64:
ZG0xMFBUTW1iR0YyUFRJeEpuZDJQVEVtWjNJOU1pNHdMamttY0hobFBURm5aamhwTjJnNU5qVTVOekZ4ZERob05tTTVhamc0T0hCME5DWnpiblU5Sm1kd1BXaDBkSEJ6SlROQkpUSkdKVEpHZFhObGNuTjBlV3hsY3k1dmNtY2xNa1p6ZEhsc1pYTWxNa1ppY205M2MyVWxNa1p1WlhkbGMzUXRjM1I1YkdWekptTm9QVGttWkdrOVlUTmxNMlV5WVRneA== vmt=3&lav=21&wv=1&gr=2.0.9&pxe=1gf8i7h965971qt8h6c9j888pt4&snu=&gp=https%3A%2F%2Fuserstyles.org%2Fstyles%2Fbrowse%2Fnewest-styles&ch=9&di=a3e3e2a81
Assim, a cada clique, as informações são transmitidas para os URLs visitados.
Eles limparam os computadores domésticos e de trabalho, excluíram a extensão daqueles que a possuíam e escreveram nas instruções para o futuro. Tudo o que restava era esperar. Os dados do SimilarWeb são atualizados dentro de um mês.
No entanto, dois meses se passaram e a situação não mudou. Os domínios continuaram pendurados na lista de recursos. Portanto, nem todo mundo foi limpo. Decidimos calcular o "scammer" de outra maneira. Para cada membro da equipe, um URL especial do seguinte formulário foi criado: coder-124.mycomp.ru, coder-523.mycomp.ru etc. Eles deram a tarefa de acessar esse URL diariamente e fazer alguns cliques, o processo foi monitorado para que ninguém esquecesse. Depois de um mês intimidando os desenvolvedores, ainda conseguimos os frutos. Um dos URLs estava no final da lista. O destino é encontrado, resta entender como os dados são mesclados.
O resultado foi surpreendente: a extensão do Chrome derramou os dados ... mas não o estilo ... Como se viu, a extensão do
fragata derramou os dados. Quando instalada, a extensão exibe a seguinte mensagem:
Digamos ... Em seguida, vimos como ele transmite esses dados:
Quando você acessa qualquer página com dois URLs (pergunto-me por que dois), os seguintes dados são enviados:
O parâmetro
e no
FormData contém dados duplicados em Base64:
Y3oweE9ERTBKbTFrUFRJeEpuQnBaRDFzWW5keE1FeHBTVW8xZFhFeWFEY21jMlZ6Y3owMU56TXpNVFl6TWpVeU1EazJOemd3TURBbWMzVmlQV05vY205dFpTWnhQV2gwZEhCekpUTkJMeTltY21rdFoyRjBaUzV2Y21jdmNuVXZKbWh5WldabGNtVnlQV2gwZEhCekpUTkJMeTkzZDNjdVoyOXZaMnhsTG5KMUx5WndjbVYyUFdoMGRIQnpKVE5CTHk5bWNta3RaMkYwWlM1dmNtY3ZjblV2Sm5SdGRqMDBNREUxSm5SdFpqMHhMakU9 s=1814&md=21&pid=lbwq0LiIJ5uq2h7&sess=573316325209678000&sub=chrome&q=https%3A//fri-gate.org/ru/&hreferer=https%3A//www.google.ru/&prev=https%3A//fri-gate.org/ru/&tmv=4015&tmf=1.1
Eu não acho que todos esses dados sejam necessários para selecionar um servidor proxy. E os mecanismos são muito semelhantes.
A propósito, não existe essa funcionalidade na extensão friGate Light ...
Em vez de uma conclusão.
Posso assumir que, se uma segunda extensão for encontrada, haverá uma terceira e uma quarta. Muito provavelmente, esse método de colaboração entre a SimilarWeb e os desenvolvedores de extensões de navegador se desenvolverá ainda mais. Peço que você verifique suas extensões (Chrome, Firefox - não importa) e, se encontrar algo assim, escreva nos comentários. É interessante saber quão profundo é o problema.
E lembre-se, o big brother está sempre de olho em você :)
Tudo de bom.