Плагин под Firefox, который скачали около 7 миллионов раз, шпионил за пользователями

И это не преувеличение. Плагин, который называется Ant Video Downloader and Player, достаточно долго просуществовал в каталоге плагинов Mozilla. За все время его «жизни» плагин был скачан более 7 миллионов раз, и качали его пользователи, которые польстились на громкое название плагина и заявленные функции. Однако оказалось, что кроме работы в видео, плагин отлично шпионит за пользователями, причем делает это даже тогда, когда включен приватный режим работы или даже в случае использования Tor и других подобных сервисов. К слову, плагинчик заработал максимальный рейтинг — пять звезд из пяти возможных. Количество закачек его составляло 7 тысяч в день.

После обнаружения «темной стороны» этого плагина, специалисты по сетевой безопасности подняли вопрос о реальности обеспечения достаточного уровня безопасности для Mozilla Firefox. Сам плагин работал, выполняя заявленные разработчиками функции, но при этом он еще и отсылал разработчикам информацию о посещенных сайтах и некоторую другую информацию. При этом каждый лог привязывался к определенному пользователю при помощи специального идентификатора, который плагин присваивал конкретному ПК при установке.

От этого идентификатора не так и просто избавиться, он оставался прежним, даже если плагин сносили, и затем снова ставили. Можно себе представить, какой объем информации можно было получить о каждом из пользователей, загрузивших плагин, проанализировав логи. Естественно, личность пользователя, чья история посещений Сети известна, устанавливается очень просто. При желании, можно «накопать» такого компромата на некоторых деятелей, что мало не покажется, если бы разработчикам вздумалось открыть такую информацию (в принципе, еще неизвестно, куда все это «утекало» и каким образом используются пользовательские данные миллионов человек).

Кстати, шпионская составляющая этого плагинчика была обнаружена экспертами еще 10 мая, однако из каталога Ant Video Downloader and Player был удален сегодня.

Вот, что было опубликовано человеком, обнаружившим «черные» методы работы плагина:

POST / HTTP/1.1
Host: rpc.ant.com
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.17) Gecko/20110422 Ubuntu/10.04 (lucid) Firefox/3.6.17
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
Content-Type: application/json; charset=UTF-8
Content-Length: 327
Cookie: __utma=1.1249745586.1303010447.1305056403.1305056954.3; __utmz=1.1303010447.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); __utmb=1.4.10.1305056954
X-Ant-UID: {0D908E35-A6A6-4326-B03A-CD8409A7FB79}
X-Ant-Agent: vdmoz-2.3.0-stable.linux-linux-i686
Pragma: no-cache
Cache-Control: no-cache
{"version":"1.0","id":1,"method":"rank","params":[{"url":"http://www.theregister.co.uk/","ref":"","uid":"{0D908E35-A6A6-4326-B03A-CD8409A7FB79}","uagent":"Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.17) Gecko/20110422 Ubuntu/10.04 (lucid) Firefox/3.6.17","lang":"en-us, en"}],"agent":"vdmoz-2.3.0-stable.linux-linux-i686"}HTTP/1.1 200 OK

Сервера Ant.com отвечали следующим образом:

Content-Type: application/json
Content-Length: 50
Server: thin 1.2.7 codename No Hup
Connection: close
Date: Tue, 10 May 2011 20:19:09 GMT
{"version":"1.0","id":1,"code":0,"result":"4,086"}

В общем-то, нет никаких гарантий, что какой-либо «белый» плагин, который сейчас находится в каталоге Mozilla, не является таким же шпионским модулем, как и плагин, о котором говорится в этой новости.

Via Theregister