[新聞]Firefox附加元件Web Security回傳瀏覽記錄 mkz6 PTT批踢踢實業坊

[新聞]Firefox附加元件Web Security回傳瀏覽記錄

作者: mkz6 ( ) 2018-08-16 23:37:17

新聞網址：https://www.ithome.com.tw/news/125307
Mozilla曾推薦的Firefox外掛Web Security遭懷疑會偷偷追蹤用戶
文/陳曉莉 | 2018-08-16發表
廣告封鎖程式uBlock Origin開發者Raymond Hill與德國的隱私暨安全部落客 Mike
Kuketz近日相繼指出，Firefox上擁有逾22萬安裝次數的外掛程式Web Security偷偷紀錄
且傳送了使用者的瀏覽資料，諷刺的是，Mozilla才在上周推薦Firefox用戶安裝該外掛以
確保安全。
Web Security宣稱是個可保護電腦與使用者隱私的Firefox外掛程式，藉由廣泛的資料庫
與即時防護技術來協助使用者避開惡意網頁。Mozilla上周在一篇部落格（目前已找不到
）中推薦了多款可用來保護使用者隱私的Firefox外掛程式，其中一款即為Web Security
。
率先察覺Web Security有問題的是一名代號為echosa的Reddit用戶，他根據Mozilla的文
章找到了Web Security，但覺得該外掛程式看起來並不值得信賴，也質疑該程式為何需要
用戶允許它與Firefox以外的程式交換訊息。
接著Hill即發現Web Security紀錄了Firefox所造訪的所有網頁，並將它們傳送到特定的
IP位址。幾天後Kuketz進一步指出Web Security是以未加密的HTTP傳送這些瀏覽器紀錄，
且該IP位址指向一台位於德國的伺服器。
在面臨社群質疑之際，Mozilla已於推薦名單中移除了Web Security，同時展開調查。另
一方面，打造Web Security的Creative Software Solutions在接到The Register的詢問
之後，表示收集這些瀏覽資訊是用來與資料庫中的黑名單進行比對，也是確保該外掛程式
功能的必要步驟，與追蹤用戶行為一點關係都沒有。目前Web Security仍安然存在於
Firefox的外掛程式網站上。
＝＝＝＝＝＝＝＝＝＝
其實不能說偷傳，因為隱私條款有寫
https://addons.mozilla.org/en-US/firefox/addon/web-security/privacy/
Collection of access data and records (logfiles)
Any access to our servers is subject to our legitimate interest within the
meaning of Art. 6 para. 1 lit. f. GDPR, corresponding data (so-called server
log files), including date and time, amount of data, name of the accessed
website, success report on the call, the operating system including browser
type and version, the previously visited websites, the IP address and the
provider. For the purpose of fraud or misuse the logfile information is
stored for security reasons for a maximum of seven days and then deleted or
anaymized. If certain data is necessary for evidence purposes, the deletion
will be postponed until the final clarification of the incident.
＝＝＝＝＝＝＝＝＝＝
reddit討論串 https://www.reddit.com/r/firefox/comments/977jug/
ghacks討論串 https://goo.gl/KYfnY9
ghacks底下留言：
Browser-Security, Browser Privacy, Popup Blocker
這三個也會上傳資料到 136.243.163.73
https://addons.mozilla.org/firefox/addon/browser-security-1/
https://addons.mozilla.org/firefox/addon/browser-privacy/
https://addons.mozilla.org/firefox/addon/popup_blocker/
另外Browser Safety則是上傳到 https://api.browser-safety.org/
https://addons.mozilla.org/firefox/addon/browser-safety/
然後查web-security.com域名 (IP 136.243.163.75)
https://www.threatcrowd.org/domain.php?domain=web-security.com
https://viewdns.info/reverseip/?host=web-security.com&t=1
發現smarttube.io
https://addons.mozilla.org/firefox/user/CSS-IO/
製作的附加元件 background.js 全都有類似的代碼
其他掛在 136.243.163.75 底下的附加元件開發者
https://addons.mozilla.org/firefox/user/YTTools/
https://addons.mozilla.org/firefox/user/FBTools/
https://addons.mozilla.org/firefox/user/DirtyLittleHelpers/

作者: zhtw (人生就是不停的後悔。。) 2018-08-18 00:29:00

已經裝了的人會被Mozilla強制停用這些套件

作者: kaoh08 (AIR -the 1000th summer-) 2018-08-18 00:18:00

那些已經裝的人怎麼辦？憑證會失效變不能用嗎？

作者: ettoolong (ettoolong) 2018-08-17 22:17:00

後續: https://goo.gl/CvgdNG

作者: t7yang (t7: 我認為這是一種背叛) 2018-08-17 18:31:00

這就跟有人會說360瀏覽器比較安全一樣，用安全騙你就有人會上鉤

作者: sam613 (Hikaru) 2018-08-17 17:33:00

我覺得用http明文傳比較誇張

作者: autre (autre) 2018-08-17 15:12:00

Browser Privacy 被附加元件自動停用了這波的幾個套件有問題的我都有用到＠＠

安全其實做好系統更新、防毒軟體、UBO 就好了，其他都多的，用了只是徒增風險。

作者: cys070 (cys070) 2018-08-17 09:14:00

瀏覽器套件防網路就UBO+uMatrix，剛好都同一作者

作者: wumins 2018-08-18 15:49:00

GOOGLE還有FACEBOOK表示…

繼續閱讀

Fw: [新聞] 號稱「中國研發」慘被打臉　陸瀏覽器山寨aza0290 [-Fx-] 問一個有關 Youtube 影片的腳本abyz Re: [-Fx-] 書籤會重複增生、複製onewalker [-GC-] Chrome開始支援Windows 10通知整合hn9480412 [-Fx-] 61.0.2 releasebajiqa [-Fx-] 63 版後附加元件資料的儲存方法變更eight0 [-GC-] flickr不能看大圖justblackJ 可以分享Cyberfox最順的版本嗎？webaholic [-Fx-] 請問如何同時開啟新舊兩個版本的Firefox?yjn [-Fx-] 某些emoji 不會顯示？tennyleaz