Браузъри-шпиони.

Когато разглеждате сайтовете, някой ви наблюдава. Това стана почти ежедневие: събирането на статистически данни вече е вградено не само в уеб страници, но и в много програми. Проведохме проучване, за да разберем какво точно научават разработчиците на популярни браузъри за вас и доколко това нарушава поверителността.

Що се отнася до сърфирането в мрежата, трябва да се разграничат два фундаментално различни типа събиране на данни: един, който се извършва от самия браузър, и един, който се създава от скриптове на сайтове.

Статистиката на OpenStat ни помогна да идентифицираме кръга на основните заподозрени

. Избрахме най-популярните браузъри в Русия, като подчертахме версиите за настолни компютри с Windows. Най-широко разпространени бяха Google Chrome (неговият дял е почти наполовина), Yandex.Browser, който е натрапчиво инсталиран за компания с други програми, Mozilla Firefox и Opera.

Списъкът OpenStat включва и браузъра Apple Safari, но неговата версия за Windows спря да се актуализира през 2012 г. и почти никога не се използва. Преинсталираният в Windows 10 браузър Edge едва спечели един и половина процента от феновете, но именно от него най-много очаквахме прояви на „шпионски софтуер“. От Edge и неговия по-голям брат Internet Explorer, който винаги е надценен по популярност поради способността на различните програми да се идентифицират като IE.

Рейтинг на популярност на браузъра

Поведението на „шпионския софтуер“ на браузърите беше оценено на няколко етапа. Първо изтеглихме най-новите дистрибуции от официалните сайтове, инсталирахме ги в чиста ОС и ги стартирахме с настройките по подразбиране. След това смениха началната страница на празна и повториха експеримента. На последния етап те уредиха един час седене в засада, по време на който браузърът просто беше отворен с празна страница (about: blank) и не трябваше да изпълнява никакви мрежови заявки, с изключение на проверка на наличието на собствени актуализации.

Всички тестове се провеждаха във виртуални машини. Трябваше да използваме както Windows 10, така и старата Windows XP, за да филтрираме целия фонов трафик. В този поток на трафика активността на браузъра просто се губи, тъй като Edge (и, както се оказа, не само той) е в състояние да изпраща част от заявките от името на системните процеси, използвайки ги като посредници. Следователно, прости инструменти (например инсталиране на уеб прокси и филтриране на трафик по имена на процеси) не гарантират възможността за улавяне на целия трафик, който ни интересува.

Лъвският дял от трафика се изпраща криптиран от браузърите. Следователно, използвайки MakeCert, генерирахме и инсталирахме левия сертификат за сигурност в системата, благодарение на което дешифрирахме целия прихванат HTTPS трафик.

В някои случаи беше необходимо да се използва помощната програма AppContainer Loopback Exemption, за да се заобиколи технологията за изолиране на приложения, вградена в Windows 10, и да се гарантира, че трафикът се прихваща с помощта на Fiddler. На първо място, това беше необходимо за Edge и Internet Explorer.

Пренасочвайте Edge трафика към локален прокси сървър, заобикаляйки защитата на Windows

Използвахме и шпионката Wireshark - за подробен анализ на регистрационни файлове и намиране на модели. Това е мощен инструмент, който освен всичко друго знае как да събира отделни пакети в потоци. Следователно, след като намерихме един подозрителен пакет, лесно възстановихме целия процес на размяна на браузъра с избрания отдалечен хост.

Тези програми вече са станали фактически стандарт за извършване на тестове. Работата на програмите обаче е ограничена от операционната система. Браузърите Internet Explorer и Edge са толкова тясно интегрирани в Windows 10, че могат да използват компоненти на Windows 10, за да изпращат данни по кръгово движение. Следователно, за да гарантираме, че нито един пакет не остане незабелязан, ние допълнително използвахме хардуерен снифър.

Междинен рутер като снифър

Това беше преносим рутер TP-Link MR3040 v. 2.5, която препрограмирахме с най-новата версия на OpenWrt и я включихме, избирайки режима на WISP. През него е преминал целият трафик от тестови системи. Рутерът показваше всички мрежови връзки в реално време и водеше подробен дневник.

Всички връзки в реално време (фрагмент от списъка)