თქვენი ბრაუზერი სქრეიფინგის ბოტად? — მილიონამდე მოწყობილობა საფრთხის ქვეშ

მკვლევარების თქმით, თითქმის 1 მილიონ მოწყობილობაზე დაყენებული ბრაუზერის გაფართოებები უსაფრთხოების საკვანძო მექანიზმებს გვერდს უვლიან და ბრაუზერებს ფასიანი სერვისისთვის ვებსაიტების სქრეიფინგის (მონაცემების ავტომატურად შეგროვების) ძრავებად აქცევენ. SecurityAnnex-ის წარმომადგენლის, ჯონ ტაკნერის, ანგარიშის თანახმად, საუბარია 245 გაფართოებაზე Chrome-ის, Firefox-ისა და Edge-ისთვის, რომლებსაც ჯამში თითქმის 909 მილიონი ჩამოტვირთვა აქვთ. ეს გაფართოებები სხვადასხვა მიზანს ემსახურება, მათ შორის, სანიშნებისა და ბუფერის მართვას, დინამიკების ხმის გაძლიერებასა და შემთხვევითი რიცხვების გენერირებას. მათ ერთი საერთო რამ აქვთ: ყველა მათგანი იყენებს MellowTel-js-ს, ღია კოდის JavaScript ბიბლიოთეკას, რომელიც დეველოპერებს თავიანთი გაფართოებების მონეტიზაციის საშუალებას აძლევს. 

უსაფრთხოების მექანიზმების განზრახ შესუსტება 

ტაკნერისა და სხვა კრიტიკოსების თქმით, მონეტიზაცია მუშაობს შემდეგნაირად: ბრაუზერის გაფართოებები გამოიყენება ვებსაიტების სქრეიფინგისთვის ფასიანი კლიენტების, მათ შორის, რეკლამის განმთავსებლების, სახელით. ტაკნერი ამ დასკვნამდე MellowTel-სა და კომპანია Olostep-ს შორის მჭიდრო კავშირების აღმოჩენის შემდეგ მივიდა. Olostep-ი საკუთარ თავს „მსოფლიოში ყველაზე სანდო და ეფექტურ ვებ სქრეიფინგის API-ს“ უწოდებს. კომპანიის თქმით, მათი სერვისი „თავს არიდებს ბოტების აღმოჩენის ყველა მექანიზმს და წუთებში 100,000-მდე მოთხოვნის პარალელიზაცია შეუძლია“. ფასიანი კლიენტები აგზავნიან იმ ვებსაიტების მისამართებს, რომლებზეც წვდომა სურთ, Olostep-ი კი მოთხოვნის შესასრულებლად თავისი გაფართოებების მომხმარებელთა ბაზას იყენებს. „ეს ძალიან ჰგავს სქრეიფინგის ინსტრუქციებს, რომლებიც MellowTel-ის ბიბლიოთეკის მუშაობაზე დაკვირვებისას ვნახეთ“, — წერს ტაკნერი. „ვფიქრობ, გვაქვს საფუძვლიანი მიზეზი, ვივარაუდოთ, რომ Olostep-იდან მოსული სქრეიფინგის მოთხოვნები ნაწილდება ყველა აქტიურ გაფართოებაზე, რომელიც MellowTel-ის ბიბლიოთეკას იყენებს.“ 

MellowTel-ის დამფუძნებელმა, თავის მხრივ, განაცხადა, რომ ბიბლიოთეკის მიზანია „[მომხმარებლების] ინტერნეტ ტრაფიკის გაზიარება (პარტნიორული ბმულების, შეუსაბამო რეკლამების ჩასმისა და პერსონალური მონაცემების შეგროვების გარეშე)“. მისი თქმით, კომპანიები ამაში ფულს იხდიან, რათა „საჯაროდ ხელმისაწვდომ მონაცემებზე ვებსაიტებიდან სანდო და ეფექტური წვდომა მიიღონ“. დამფუძნებლის განცხადებით, შემოსავლის 55%-ს გაფართოების დეველოპერები იღებენ, დანარჩენს კი — MellowTel-ი. მიუხედავად ამ გარანტიებისა, ტაკნერის თქმით, MellowTel-ის შემცველი გაფართოებები რისკს უქმნის მომხმარებლებს. ერთ-ერთი მიზეზი ისაა, რომ MellowTel-ი ააქტიურებს ვებსოკეტს (websocket), რომელიც უკავშირდება AWS სერვერს და აგროვებს ინფორმაციას გაფართოების მომხმარებლების ადგილმდებარეობის, ხელმისაწვდომი ინტერნეტის სიჩქარისა და სტატუსის შესახებ. კონფიდენციალურობის დარღვევის გარდა, ვებსოკეტი ასევე ამატებს დამალულ iframe-ს იმ გვერდზე, რომელსაც მომხმარებელი იმ მომენტში ათვალიერებს. ეს iframe-ი უერთდება AWS სერვერის მიერ მითითებული ვებსაიტების სიას. ჩვეულებრივ მომხმარებელს არანაირი საშუალება არ აქვს, დაადგინოს, რა საიტები იხსნება ამ უხილავ iframe-ში. 

ტაკნერი განმარტავს: „როგორ არის შესაძლებელი, ასე მარტივად ჩატვირთო არასასურველი კონტენტი ნებისმიერ ვებსაიტში? ჩვეულებრივ, ამის თავიდან ასაცილებლად დაცვის მექანიზმები არსებობს, როგორიცაა უსაფრთხოების ჰედერები Content-Security-Policy და X-Frame-Options. მაგრამ MellowTel-ის ბიბლიოთეკა დინამიურად ცვლის წესებს, რომლებიც შლის ამ უსაფრთხოების ჰედერებს ვებ სერვერის პასუხებიდან.“ 

„ვებ დათვალიერების ასეთი შესუსტება მომხმარებლებს აყენებს ისეთი თავდასხმების რისკის ქვეშ, როგორიცაა ჯვარედინი საიტების სკრიპტინგი (cross-site scripting), რომელიც ნორმალურ პირობებში აღკვეთილი იქნებოდა“, — წერს ტაკნერი. ტაკნერის აღმოჩენა მოგვაგონებს 2019 წლის ანალიზს, რომელმაც დაადგინა, რომ 4 მილიონ ბრაუზერზე დაყენებული გაფართოებები აგროვებდა მომხმარებლების ყველა მოძრაობას ინტერნეტში და უზიარებდა მათ Nacho Analytics-ის კლიენტებს. მაშინ შეგროვებულ მონაცემებს შორის იყო Nest-ის სათვალთვალო კამერების ვიდეოები, საგადასახადო დეკლარაციები, პაციენტების სახელები, მოგზაურობის მარშრუტები და Facebook-ის პირადი ფოტოებიც კი. 

ტაკნერმა გასულ ოთხშაბათს განაცხადა, რომ დაზარალებული გაფართოებების ამჟამინდელი სტატუსი ასეთია: 

ზოგიერთი არააქტიური გაფართოება მავნე პროგრამის გამო წაიშალა, ზოგიერთმა კი MellowTel-ის ბიბლიოთეკა ბოლო განახლებებში თავად ამოიღო. ტაკნერის მიერ აღმოჩენილი გაფართოებების სრული სია ხელმისაწვდომია აქ. 

ITNEWS-ის მეგობარი ვებ-გვერდია ITJOBS.GE. ITJOBS.GE-ზე ორგანიზაციებს და ფიზიკურ პირებს, აქვთ საშუალება განათავსონ როგორც ვაკანსიები, ტრენინგები და ივენთები ასევე კონკრეტული Tech დავალებები, რისთვისაც ეძებენ დეველოპერებს, დიზაინერებს, სეო სპეციალისტებს და ა.შ. ITJOBS.GE - იპოვე დასაქმების საუკეთესო შესაძლებლობები ან გამოაქვეყნე ვაკანსია / დავალება და მიაწვდინე ხმა სასურველ აუდიტორიას.