Chrome扩展程序,Android和iOS应用程序正在收集浏览历史记录

广告拦截平台AdGuard的一项调查显示,几个Chrome和Firefox扩展程序与Android和iOS应用程序之间存在着一种共同的特点,就是这些应用程序通过各种背隐藏的手段收集了高度私人化的用户数据。

所有扩展程序和移动应用程序之间的通用链接是名为Big Star Labs的公司开发的。

AdGuard估计这些应用程序已经安装在大约1100万台设备上。

扩展程序,应用程序收集用户的浏览历史记录

据AdGuard专家称,问题在于这些扩展和应用程序收集了高度私人化的数据,但它们存在于他们的隐私政策中,他们声称他们只收集“非个人”和“匿名”数据。

例如,AdGuard表示扩展程序和应用程序通常会收集完整的浏览历史记录,并且不会对URL进行匿名处理,从而允许第三方观察者确定用户的身份以及有关其浏览习惯和现实生活的个人详细信息。

在一种情况下,阻止弹出窗口和页面叠加的扩展会收集用户访问过的所有页面上的数据,而不仅仅是关闭弹出窗口的页面,这本来就是很自然的事情。

AdGuard指出,这种收集原始应用/扩展程序范围之外的深入用户浏览历史记录的做法违反了所有应用/扩展程序商店的政策,但此扩展程序/应用程序仍可供下载。

不怀好意的开发者,擅长利用基于照片的政策

此外,调查人员指出,这些应用程序和扩展背后的公司Big Star Labs故意试图掩盖其行为和身份。

“大实验室非常擅长隐藏其附属应用和网站,”AdGuard联合创始人安德烈·梅斯科夫说。“每个包含公司名称的文档都是图像(换句话说,你不能只是谷歌的名字),他们在扩展商店中使用不同的帐户,域名所有者不会被公开。”

此外,Meshkov指出,所有这些应用程序和网站的隐私政策仅作为图像提供,最有可能避免被搜索引擎索引,并使调查人员难以找到可能泄露公司内容的文本。广泛的数据收集和数据共享实例。

研究人员还指出,移动应用程序通常采用在恶意应用中看到的手段。例如,iOS应用程序会提示用户安装移动设备管理(MDM)配置文件。此MDM配置文件允许应用程序完全控制设备,拦截流量和访问任何数据,这是MDM配置文件经常被滥用的原因。

其次,公司的所有Android应用程序都要求用户访问辅助功能服务。这项服务是当今大多数银行木马和大多数Android恶意软件完全控制受感染设备的主要方法。虽然AdGuard研究人员没有看到Big Star Labs应用程序执行任何恶意操作,但他们确实指出,访问此服务可以使应用程序的数据收集变得非常容易。

应该删除应用和扩展程序

Meshkov声称这些应用程序和扩展程序与Stylish扩展程序处于相同的位置,后者最近从Mozilla和Chrome扩展程序库中删除,用于偷偷记录用户的浏览器历史记录。

此外,对于欧盟最新的GDPR隐私法,应用程序和扩展程序也明显违法了,因为他们不会要求明确同意收集所有这些信息。

但同样重要的是,乱码隐私政策并未明确扩展和应用收集的确切数据,Big Star Labs的“个人”或“非个人”数据,以及Big Star Labs与谁分享这些数据与其他公司的数据。

在正常情况下,Mozilla和Google应在确认AdGuard的调查结果后进行干预并删除这些应用程序。iOS应用程序,AdGuard 去年9月首次被发现采用不正当的策略,IOS但不知道它是一个更大的侵入式应用程序的一部分,在Apple App Store上不可用,因此,Apple实际上无法做任何事情。

  • 发表于:
  • 原文链接https://www.bleepingcomputer.com/news/security/chrome-extensions-android-and-ios-apps-caught-collecting-browsing-data/

扫码关注云+社区

领取腾讯云代金券