Стаття доступна українською…
Расширение браузера Amazon Assistant может использоваться для отслеживания всего, что вы делаете в Интернете, а также может изменять содержимое веб-страниц, не относящихся к Amazon, отражаются в вашем браузере, говорит выдающийся эксперт по веб-браузеров.
Владимир Палант, немецкий кодер, компания которого поддерживает расширение Adblock Plus, 8 марта утверждал, что Amazon Assistant имеет такую мощность, что его можно использовать “для получения полной информации о поведении пользователя в режиме просмотра, извлечение информация об учетных записях, в которые они вошли , а также манипулировать сайтами почти произвольным образом “.
Палант четко заявил, что нет никаких доказательств того, что Amazon на самом деле делает что-то из этого. Но он сказал, что расширение имеет столько привилегий и разработано таким образом, чтобы Amazon могла изменить возможности расширения в любое время без официальных обновлений, это то, о чем стоит беспокоиться.
"Я был удивлен, когда обнаружил, что Amazon создала идеальную технику, чтобы позволить им отслеживать любого пользователя Ассистента Ассоциации или всех из них: что они читают и как долго, что они ищут в Интернете, в которых учетных записях они вошли т.д." писал Палант.
Amazon Assistant доступен для Chrome, Edge, Firefox, Opera и браузеров, совместимых с ними. У него больше 7 млн установок в Chrome и почти полмиллиона в Firefox, а также приложение для Android. Palant подсчитал, что расширение браузера могут иметь более 10 млн пользователей в целом.
Целью расширения Amazon Assistant является простое сравнение цен. Когда вы делаете покупки в Интернете или по крайней мере просматриваете товары, которые вы можете приобрести, Amazon Assistant может сообщить вам, сколько стоит товар на Amazon.
Расширение также позволяет увидеть, изменилась ли цена товара на Amazon, добавить товары в списки желаний и реестров Amazon, подписаться на уведомления о сделках Amazon и получить обновление доставке товаров, которые вы заказали в Amazon.
Однако для сравнения цен Amazon Assistant должен "увидеть", что есть на страницах других сайтов. Чтобы получать уведомления, ему нужна возможность размещать всплывающие окна на страницах других сайтов.
В сообщении о конфиденциальности Amazon Assistant также отмечается, что "Amazon Assistant собирает и обрабатывает информацию о пересмотре", а если вы решите "взаимодействовать с Amazon Assistant", то расширение "свяжет информацию о пересмотре с вашей учетной записью Amazon".
Пока это все, что Amazon ясно понимает, хотя достаточно, чтобы поднять некоторые красные флаги конфиденциальности за последние несколько лет. Но Палант покопался в коде Amazon Assistant и обнаружил другие вещи, которые могут быть еще более тревожными.
Что может сделать Amazon Assistant?
Каждой установке Amazon Assistant в браузере предоставляется уникальный идентификатор, сказал Палант. Это имеет смысл, поскольку расширение связано с вашим аккаунтом Amazon, но Палант отмечает, что «даже если вы выйдете из Amazon и очистите файлы cookie [браузера], этот идентификатор сохранится и позволит Amazon связать вашу активность с вашей личностью» .
Он также обнаружил, что расширение имеет доступ к файлам cookie для отслеживания и других типов файлов cookie на любом сайте, а не только на сайтах, принадлежащих Amazon. Это выходит за рамки необходимого для отслеживания только файлов cookie Amazon. А в Firefox (но не Chrome) Палант отметил, что Amazon Assistant имеет возможность управлять, получать доступ и даже удалять другие расширения.
Палант говорит, что обнаружил нечто странное: Amazon Assistant загружает процессы минимум из девяти других сайтов Amazon.
Некоторые из этих процессов достаточно мощные. Они могут открывать и закрывать новые вкладки браузера, получать файлы cookie любого сайта, получать доступ к хранилищу и настроек других расширений, вводить код на любой веб-сайт, отображается на любой открытой вкладке, создавать элементы на любой открытой вкладке, менять представления информации на любой открытой вкладке, и получать данные с любой открытой вкладки.
Например, Amazon Assistant может добавлять элементы Amazon на страницу покупок конкурирующего продавца, отображается в браузере пользователя. Нет доказательств того, что на самом деле это делается, но способность есть.
Удивительное дело, говорит Палант, заключается в том, что было бы столь же легко встроить эти процессы непосредственно в код Amazon Assistant. Это просто статические файлы JavaScript.
Но поскольку эти отдаленные процессы находятся не в самом ассистента, их код можно изменить, не обновляя расширения Ассистента, не замечая ни конечного пользователя, ни разработчика браузера - Google, Microsoft или Mozilla.
"Невозможно узнать, что это всегда одинаковый код", - написал Палант. Он отметил, что уже существуют различные хранилища кода Assistant для разных языков.
Палант сказал, что, учитывая уникальный идентификатор, который получает каждая установка Amazon Assistant, Amazon может обслуживать собственный Java Script для конкретного пользователя. Эта пользовательская версия Amazon Assistant может иметь особые способности, которых нет в других установках Assistant.
"Если Amazon шпионит за подгруппой своих пользователей (несмотря на это или от имени какого-то государственного агентства), эту атаку будет почти невозможно обнаружить", - написал Палант.
Стоит ли пользоваться Amazon Assistant?
Так стоит ли пользоваться Amazon Assistant? Если вы покупатель Amazon, этому удобству достаточно трудно устоять.
Но Google уже предоставляет вам гамму цен, если вы просто введете название товара; Camel отслеживает изменения цен на Amazon; а сама Amazon позволяет легко отслеживать поставки и добавлять товары в список.
Опять же, нет доказательств того, что Amazon Assistant делает то, кроме того, что указано в его политике конфиденциальности. Просто расширение могло бы сделать гораздо больше.
Не забудьте підписатися на нашого Головного Редактора в Instagram, або ж на нашу офіційну сторінку в Facebook, канал в Telegram та в Twitter. Також стежте за нами в Google News.