Firefox Security Add-on pada 222k Peranti Ditemui Menghantar Data Penyemakan Imbas ke Pelayan Jerman Jauh

Berita
Keselamatan / Firefox Security Add-on pada 222k Peranti Ditemui Menghantar Data Penyemakan Imbas ke Pelayan Jerman Jauh 1 minit dibaca

Neowin



Terdapat add-on penyemak imbas yang popular yang dipasang oleh 222.746 pengguna Firefox mengikut statistik muat turun add-on Mozilla sendiri. Menurut blogger keselamatan Jerman, Mike Kuketz, dan pengarang uBlock Origin, Raymond Hill, tambahan ini telah mengintip aktiviti pengguna dengan memanfaatkan sejarah penyemak imbas mereka dan menjejaki halaman web yang mereka lawati. Tambahan ini adalah pelanjutan Keselamatan Web untuk penyemak imbas Mozilla Firefox.

Keselamatan Web dirancang untuk melindungi pengguna dari serangan pancingan data dan perisian hasad dalam talian yang berpotensi mencuri maklumat peribadi. Perkara ini sangat ironis kerana pelanjutan didapati tidak mematuhi maklumat anda sendiri secara tidak beretika, sehingga menghindari privasi anda tanpa persetujuan anda. Alasan bahawa berita ini memukul berita besar-besaran adalah bahawa pengaya itu dipublikasikan oleh Mozilla sendiri dalam catatan blog minggu lalu. Alat tambahnya memberikan ulasan hebat dan itulah sebabnya ia digunakan secara meluas oleh begitu banyak orang.



Mozilla catatan blog dengan cepat diturunkan setelah Hill menemui kekurangan ini di add-on dan membesarkannya pada reddit mengatakan bahawa peluasan itu akan disiarkan ke http://136.243.163.73/ untuk setiap laman web yang dimuatkan dalam penyemak imbas. Dia terus mengatakan bahawa data yang disiarkan tidak diuraikan pada ketika ini, dan dia mendesak penganalisis keselamatan lain untuk memeriksanya. Semalam, Kuketz melihat keanehan yang sama dan menyiasatnya lebih jauh untuk mengetahui bahawa URL yang dikunjungi pengguna sedang ditetapkan ke pelayan Jerman.



Walaupun beberapa aplikasi menggunakan data URL untuk mencari kemungkinan ancaman, tidak ada pencarian yang memerlukan pengiriman data ke lokasi pelayan jauh. Melihat kod (di bawah), didapati bahawa bukan hanya kebiasaan lawatan halaman web pengguna add-on logging, tetapi juga memasukkannya ke ID pengguna untuk mengukur keseluruhan corak penyemakan imbas mereka. Analisis dan pengumpulan data ini tidak diperlukan untuk tujuan penyambungan tersebut. Dua add-on serupa, Stylish dan Web of Trust, dilarang mengumpulkan maklumat dengan cara yang sama tetapi Web Security belum dilarang.