作者mkz6 ( )
看板Browsers
标题[新闻]Firefox附加元件Web Security回传浏览记录
时间Thu Aug 16 23:37:17 2018
新闻网址:
https://www.ithome.com.tw/news/125307
Mozilla曾推荐的Firefox外挂Web Security遭怀疑会偷偷追踪用户
文/陈晓莉 | 2018-08-16发表
广告封锁程式uBlock Origin开发者Raymond Hill与德国的隐私暨安全部落客 Mike
Kuketz近日相继指出,Firefox上拥有逾22万安装次数的外挂程式Web Security偷偷纪录
且传送了使用者的浏览资料,讽刺的是,Mozilla才在上周推荐Firefox用户安装该外挂以
确保安全。
Web Security宣称是个可保护电脑与使用者隐私的Firefox外挂程式,藉由广泛的资料库
与即时防护技术来协助使用者避开恶意网页。Mozilla上周在一篇部落格(目前已找不到
)中推荐了多款可用来保护使用者隐私的Firefox外挂程式,其中一款即为Web Security
。
率先察觉Web Security有问题的是一名代号为echosa的Reddit用户,他根据Mozilla的文
章找到了Web Security,但觉得该外挂程式看起来并不值得信赖,也质疑该程式为何需要
用户允许它与Firefox以外的程式交换讯息。
接着Hill即发现
Web Security纪录了Firefox所造访的所有网页,并将它们传送到特定的
IP位址。几天後Kuketz进一步指出Web Security是以未加密的HTTP传送这些浏览器纪录,
且该IP位址指向一台位於德国的伺服器。
在面临社群质疑之际,Mozilla已於推荐名单中移除了Web Security,同时展开调查。另
一方面,
打造Web Security的Creative Software Solutions在接到The Register的询问
之後,表示收集这些浏览资讯是用来与资料库中的黑名单进行比对,也是确保该外挂程式
功能的必要步骤,与追踪用户行为一点关系都没有。目前Web Security仍安然存在於
Firefox的外挂程式网站上。
==========
其实不能说偷传,因为隐私条款有写
https://addons.mozilla.org/en-US/firefox/addon/web-security/privacy/
Collection of access data and records (logfiles)
Any access to our servers is subject to our legitimate interest within the
meaning of Art. 6 para. 1 lit. f. GDPR, corresponding data (so-called server
log files),
including date and time, amount of data, name of the accessed
website, success report on the call, the operating system including browser
type and version, the previously visited websites, the IP address and the
provider. For the purpose of fraud or misuse the logfile information is
stored for security reasons for a maximum of seven days and then deleted or
anaymized. If certain data is necessary for evidence purposes, the deletion
will be postponed until the final clarification of the incident.
==========
reddit讨论串
https://www.reddit.com/r/firefox/comments/977jug/
ghacks讨论串
https://goo.gl/KYfnY9
ghacks底下留言:
Browser-Security, Browser Privacy, Popup Blocker
这三个也会上传资料到 136.243.163.73
https://addons.mozilla.org/firefox/addon/browser-security-1/
https://addons.mozilla.org/firefox/addon/browser-privacy/
https://addons.mozilla.org/firefox/addon/popup_blocker/
另外Browser Safety则是上传到
https://api.browser-safety.org/
https://addons.mozilla.org/firefox/addon/browser-safety/
然後查web-security.com域名 (IP 136.243.163.75)
https://www.threatcrowd.org/domain.php?domain=web-security.com
https://viewdns.info/reverseip/?host=web-security.com&t=1
发现smarttube.io
https://addons.mozilla.org/firefox/user/CSS-IO/
制作的附加元件 background.js 全都有类似的代码
其他挂在 136.243.163.75 底下的附加元件开发者
https://addons.mozilla.org/firefox/user/YTTools/
https://addons.mozilla.org/firefox/user/FBTools/
https://addons.mozilla.org/firefox/user/DirtyLittleHelpers/
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 122.116.83.50
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Browsers/M.1534433854.A.D0B.html
1F:推 Kreen: 安全其实做好系统更新、防毒软体、UBO 就好了,其他都多的 08/17 00:21
2F:→ Kreen: ,用了只是徒增风险。 08/17 00:22
3F:推 cys070: 浏览器套件防网路就UBO+uMatrix,刚好都同一作者 08/17 09:14
4F:推 autre: Browser Privacy 被附加元件自动停用了 08/17 15:12
5F:→ autre: 这波的几个套件有问题的我都有用到@@ 08/17 15:13
6F:→ sam613: 我觉得用http明文传比较夸张 08/17 17:33
7F:→ t7yang: 这就跟有人会说360浏览器比较安全一样,用安全骗你 08/17 18:31
8F:→ t7yang: 就有人会上钩 08/17 18:32
Block add-ons associated with Web Security
https://bugzilla.mozilla.org/show_bug.cgi?id=1483995
一次禁掉23个相关附加元件 XD
※ 编辑: mkz6 (122.116.83.50), 08/17/2018 21:11:11
10F:推 kaoh08: 那些已经装的人怎麽办?凭证会失效变不能用吗? 08/18 00:18
11F:→ zhtw: 已经装了的人会被Mozilla强制停用这些套件 08/18 00:29
12F:推 wumins: GOOGLE还有FACEBOOK表示… 08/18 15:49