Berta Sándor

Több száz honlap figyeli a szöveg­beviteleket

Problémás oldalakra hívták fel a figyelmet egyetemi kutatók. Nagyon népszerű honlapokon is vannak olyan scriptek, amelyek a felhasználók egérmozgásait figyelik és mindent rögzítenek.

A Princeton Egyetem munkatársai kiderítették, hogy a világ 50 000 legnépszerűbb portálja közül legalább 482 alkalmaz olyan Session Replay nevű szkripteket, amelyek nem csupán a felhasználók egérmozgásait és a görgetéseit jegyzik fel, hanem az adott honlapon végrehajtott összes billentyűleütést is. Ráadásul mindez valós időben történik.

Ez azt jelenti, hogy fontos adatok - emailcímek, jelszavak stb. - akkor is megszerezhetők, ha azokat végül az internetező el sem küldte. Súlyosbítja a helyzetet, hogy ezeket a szkripteket általában harmadik fél szállítja, így ezek a vállalkozások közvetlenül megszerezhetik az információkat. A bírált oldalak között vannak az Intel, a Hewlett-Packard és a Lenovo portáljai, de teljes ellenőrzést végez a látogatók kapcsán a Sky TV, a Yandex és a Sputniknews honlapja is. A szakemberek hangsúlyozták továbbá, hogy a 482 az abszolút minimumot jelenti, mert az ilyen szkripteket nem lehet mindig könnyen felderíteni.


Fontos leszögezni, hogy e megoldások mögött nem feltétlen az üzemeltetők rossz szándéka húzódik, a szkripteket általában csak elemzési és hibakiszűrési célokra használják fel. Ha tudják az üzemeltetők, hogy hogyan használják a weboldalukat, akkor jobban kezelhetőre alakíthatják azt át, felhívhatják a figyelmet nem használt funkciókra, vagy egyszerűen csak látják, hogy meddig görgetnek le az emberek, és ennek megfelelően alakítanak a tartalmon.

Az is erősen eltérő, hogy az egyes oldalak mennyi információt naplóznak. A Yandex például egy olyan szkriptet használ, amely valóban minden megadott adatot rögzít, ráadásul számos más portálon is fellelhető, amelyekről szintén a Yandex rendszerébe kerülnek az információk. Problémát jelent, hogy az adatátvitel részben titkosítatlanul valósul meg, amely szabaddá teszi az utat a közbekelődő (un. Man-in-the-Middle) támadások előtt.

Néhány honlapüzemeltető reagált a felvetésekre. A Walgreens például azt emelte ki, hogy most már semmilyen adatot nem továbbít a FullStory nevű Session Replay szolgáltatónak. Az amerikai drogérialánc eddig ilyen módon árult el részleteket arról, hogy mely ügyfelének milyen gyógyszereket írtak fel és milyen betegségeik vannak. A Yandex a HTTP-ről a HTTPS-re váltás fontosságára hívta fel a figyelmet, míg a Bonobos nevű ruházati gyártó közölte, hogy eltávolított azt a szkriptet, amelyen keresztül teljes mértékben tovább tudta adni a vásárlói hitelkártya-adatait.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Alexease #7
    Az SG forum es chat is masszivan figyeli a szovegbevitelt! :D
  • morguldae #6
    Gonosz rossz yandexet ne használjad, használjad inkább a googlet! pffff.... röhejes!
  • kvp #5
    "Nyilván akkor is, amikor a nagyon kifinomult privacy-aware user lekapcsoja a wifikét, vagy kiveszi a SIM kártyát. "

    Az androidos telefonok helyzetmeghatarozasi leirasaban (amit le kell okezni elso hasznalat elott) benne van, hogy a cellainfokat tovabbitja. A cellainfok begyujtesenek megakadalyozasahoz le kell kapcsolni a veszhelyzeti (112-es) hivas lehetoseget. Altalaban ehhez eleg repulesi modba kapcsolni a keszuleket, ami kikapcsolja a gsm modemet. (ez meg torvenyileg kotelezo sok orszagban)

    A tovabbitas kiiktatasahoz eleg a google play services-t kiiktatni, ami az osszes goggle alapu szolgaltatast es play store-bol telepitett alkalmazast hasznalhatatlanna teszi. Az open source android-ban ezek a szoltaltatasok es programok alapbol benne sincsennek, tehat egy sajat forditasu android biztosan tisztan indul.

    Raadasul ezeket le is irjak ket helyen, a telefon telepitesekor es a helymeghatarozasi rendszer elso inditasakor. Mindket alkalommal el kell fogadni a felteteleket, egyebkent a) nem is telepul a telefon szoftvere b) nem indul el semmilyen google szolgaltatas.

    ps: A cikkhez annyit, hogy egy holnapon sem adunk meg olyan adatot amit utanna megsem akarunk elkuldeni, mert ha beirtuk, akkor az mar el van kuldve.
  • Skylake #4
    Egyébként, kedves SG, íme egy másik potenciálisan címlapos téma a don't be evil paradigma nagy és hősies harcosától, a Google-től. Tök mindegy mit csinál az édes Android user, lokációs adatok minden időben mehetnek / mennek (?) a céghez. Nyilván akkor is, amikor a nagyon kifinomult privacy-aware user lekapcsoja a wifikét, vagy kiveszi a SIM kártyát. Persze erről az userkének nem szól a Google, hiszen ő mint tudjuk nem evil, és eleve a mi édes jó barátunk, a kedves kis androidunk! Tessék, íme:

    https://techcrunch.com/2017/11/21/android-devices-seen-covertly-sending-location-data-to-google/
  • Skylake #3
    A jelenleg piacon lévő sessionreplay alapú analízist kínáló értékes vállalkozások listája. Esetleg érdemes lehet őket szűrőbe tenni.

    https://boingboing.net/2017/11/16/fullstory.html
  • Skylake #2
    Még annyit, hogy alapvetően érthető a használata. Korábban volt a sütike. Azonban az emberek elkezdték állat módon blokkolni a reklámokat, a sütikék egyre kevésbé alkalmasak követésre, hiszen session közbe is mennek a nullba esetleg. Mivel ez a lehetőség kezd marhára kiesni, kénytelenek a reklámozók e potenciálisan óriási nyereséget ígérő piacon más megoldások után nézni. Ez is egy ilyen megoldás, része ennek a macska-egér harcnak. Na mindegy, ez már több a soknál, blokkolni kell irgalmatlanul a p*csába.
  • Skylake #1
    Fantasztikus mit nem tud ma már a technika, mi, öcsisajtok? Semmi baj, majd sok cég, szervezet és kormányzathoz köthető szereplő kezd majd vele visszaélni, lesz rá blokkolás, pont úgy, mint például a sütikékre meg a canvas fingerprintingre. Egyébként szerintem Dr Noscript most is letakarítja ezt a sz*rt. Gondolom a cuccos a béke és szabadság nagy és dicsőséges őreinek, az NSA illetve a GCHQ nevű szervezeteknek megvan már régen, csak ott más a felhasználás iránya.

    Hát, ilyen ez. Újabb példa arra, hogy a neten sincs ingyenebéd. Azaz ha szeretnéd a teljes user experience-t, és nem tiltod az ilyen szemeteket, akkor vissza fognak élni vele, és intenzíven érezheted, hogy milyen f*sza termék is vagy te. Ha elkezded ezeket a technológiákat blokkolni, akkor (például Javascript nékül), a neten az élet nem annyira kényelmes, viszont sok ilyen jellegű kellemetlen mellékhatást nélkülöz. Az useren múlik, mit választ. Sajnos ez választás igényel némi agyi szintet – de a hülyékből jól megél itt is az online meg az offline ipar - gondoljunk itt a „valamit kiírt a gép, micsináljjak???” kategóriás gyökerek ajvékolása a „telepíccsedmár újra a Vindózzt!!!” kategóriás ultimate solution alkalmazása előtt. Némi komplexebb leírás:

    https://www.wired.com/story/the-dark-side-of-replay-sessions-that-record-your-every-move-online/

    https://motherboard.vice.com/en_us/article/59yexk/princeton-study-session-replay-scripts-tracking-you

    Népünk Bölcs Vezérének nagy barátja, akarom mondani tartótisztje tulajdonában lévő vállalat mosakodása a technolodzsi’ kapcsán: azt sem kell elhinned, amit kérdez. Lényeg, hogy a korábbi népi & hazaffyas konzultésön esetében a zombik adatait valószínűleg össze tudta gyűjteni az FSZB, tehát lehet Mariska néniknek, és Jóóózsi bácsiknak nyomni a ruszki fakenews-t a jövőben, mint az állat.

    https://yandex.com/support/metrica/general/counter-webvisor.html

    Itt a technológiát kínáló korporésön elérhetősége, ha a s*ggem mellett lenne egy e célra alkalmas szerverfarm, már durrantanám is be a LOIC-ot:

    https://www.fullstory.com/

    Egyébként ez ebben a formában egy olyan technológia, hogy tekintettel az EU (szerintem helyes) adatvédelmi elveire, nemhogy sz*rrá kellene büntetni az ezt alkalmazó vállalkozásokat, hanem kb. sóval behinteni a székhelyüket. Persze lehessen nyugodtan alkalmazni a technológiát, ha valamely szervezet ezt szeretné, nem vagyunk mi az innováció ellenzői, ugye. Azonban ekkor kötelezővé kellene tenni egy egyharmad képernyő méretű, folyamatosan jelen lévő sávot, amelyen ez áll: „a weboldal használatával ön beleegyezik, hogy azon történő minden aktivitását figyeljük és rögzítsük”.