Розширення браузера Amazon Assistant може використовуватися для відстеження всього, що ви робите в Інтернеті, і навіть може змінювати вміст веб-сторінок, що не належать до Amazon, що відображаються у вашому браузері, каже видатний експерт з веб-браузерів.
Володимир Палант , німецький кодер, компанія якого підтримує розширення Adblock Plus, 8 березня стверджував, що Amazon Assistant має таку потужність, що його можна використовувати “для отримання повної інформації про поведінку користувача в режимі перегляду, витяг інформація про облікові записи, в які вони ввійшли, і навіть маніпулює веб-сайтами майже довільним чином “.
Палант чітко заявив, що немає жодних доказів того, що Amazon насправді робить щось із цього. Але він сказав, що розширення має стільки привілеїв і розроблено таким чином, щоб Amazon могла змінити можливості розширення в будь-який час без офіційних оновлень, що це щось, про що варто турбуватися.
"Я був здивований, коли виявив, що Amazon створила ідеальну техніку, щоб дозволити їм відстежувати будь-якого користувача Асистента Асоціації або всіх них: що вони переглядають і як довго, що вони шукають в Інтернеті, в яких облікових записах вони ввійшли тощо" писав Палант.
Amazon Assistant доступний для Chrome , Edge , Firefox , Opera та браузерів, сумісних із ними. У нього більше 7 мільйонів установок у Chrome та майже півмільйона у Firefox, а також є додаток для Android . Palant підрахував, що розширення браузера можуть мати більше 10 мільйонів користувачів загалом.
Метою розширення Amazon Assistant є просте порівняння цін. Коли ви робите покупки в Інтернеті або, принаймні, переглядаєте товари, які ви можете придбати, Amazon Assistant може повідомити вам, скільки коштує товар на Amazon.
Розширення також дозволяє побачити, чи змінилася ціна товару на Amazon, додати товари до списків бажань та реєстрів Amazon, підписатися на сповіщення про угоди Amazon та отримати оновлення про доставку товарів, які ви замовили в Amazon.
Однак для порівняння цін Amazon Assistant повинен "побачити", що є на сторінках інших веб-сайтів. Щоб отримувати сповіщення, йому потрібна можливість розміщувати спливаючі вікна на сторінках інших сайтів.
У повідомленні про конфіденційність Amazon Assistant також зазначається, що "Amazon Assistant збирає та обробляє інформацію про перегляд", а якщо ви вирішите "взаємодіяти з Amazon Assistant", то розширення "зв’яже інформацію про перегляд із вашим обліковим записом Amazon".
Поки що це все, що Amazon ясно розуміє, хоча досить, щоб підняти деякі червоні прапори щодо конфіденційності за останні кілька років. Але Палант покопався в коді Amazon Assistant і виявив інші речі, які можуть бути ще більш тривожними.
Що може зробити Amazon Assistant?
Кожній установці Amazon Assistant у веб-браузері надається унікальний ідентифікатор, сказав Палант. Це має сенс, оскільки розширення пов’язане з вашим обліковим записом Amazon, але Палант зазначає, що «навіть якщо ви вийдете з Amazon і очистите файли cookie [браузера], цей ідентифікатор збережеться і дозволить Amazon пов’язати вашу активність із вашою особистістю».
Він також виявив, що розширення має доступ до файлів cookie для відстеження та інших типів файлів cookie на будь-якому веб-сайті, а не лише на сайтах, що належать Amazon. Це виходить за рамки необхідного для відстеження лише файлів cookie Amazon. А у Firefox (але не Chrome) Палант зазначив, що Amazon Assistant має можливість керувати, отримувати доступ і навіть видаляти інші розширення.
Палант каже, що виявив щось дивне: Amazon Assistant завантажує процеси щонайменше з дев'яти інших веб-сайтів Amazon.
Деякі з цих процесів досить потужні. Вони можуть відкривати та закривати нові вкладки браузера, отримувати файли cookie будь-якого веб-сайту, отримувати доступ до сховища та налаштувань інших розширень, вводити код на будь-який веб-сайт, що відображається на будь-якій відкритій вкладці, створювати елементи на будь-якій відкритій вкладці, змінювати подання інформації на будь-якій відкритій вкладці, і отримувати дані з будь-якої відкритої вкладки.
Наприклад, Amazon Assistant може додавати елементи Amazon на сторінку покупок конкуруючого продавця, що відображається в браузері користувача. Немає доказів того, що насправді це робиться, але здатність є.
Дивна річ, каже Палант, полягає в тому, що було б настільки ж легко вбудувати ці процеси безпосередньо в код Amazon Assistant. Це просто статичні файли JavaScript.
Але оскільки ці віддалені процеси знаходяться не в самому Асистенті, їх код можна змінити, не оновлюючи розширення Асистента, і не помічаючи ні кінцевого користувача, ні розробника браузера - Google, Microsoft або Mozilla.
"Неможливо дізнатися, що це завжди однаковий код", - написав Палант. Він зазначив, що вже існують різні сховища коду Assistant для різних мов.
Палант сказав, що з огляду на унікальний ідентифікатор, який отримує кожна установка Amazon Assistant, Amazon може обслуговувати власний JavaScript для конкретного користувача. Ця користувацька версія Amazon Assistant може мати особливі здібності, яких немає в інших установках Assistant.
"Якщо Amazon шпигує за підгрупою своїх користувачів (не зважаючи на це чи від імені якогось державного агентства), цю атаку буде майже неможливо виявити", - написав Палант.
Чи варто користуватися Amazon Assistant?
То чи варто користуватися Amazon Assistant? Якщо ви покупець Amazon, зручності досить важко встояти.
Але Google вже надає вам гаму цін, якщо ви просто введете назву товару; Camel відстежує зміни цін на Amazon; а сама Amazon дозволяє легко відстежувати поставки та додавати товари до списку.
Знову ж таки, немає доказів того, що Amazon Assistant робить щось, окрім того, що зазначено в його політиці конфіденційності. Просто розширення могло б зробити набагато більше.
Не забудьте підписатися на нашого Головного Редактора в Instagram, або ж на нашу офіційну сторінку в Facebook, канал в Telegram та в Twitter. Також стежте за нами в Google News.