Технологии

Исследование: тысячи сайтов «видят» всё, что вы набираете на клавиатуре

  • 14 Мая 2022
  • 61
  • 0
  • 10

формы внедрены на страницы ресурсов третьими сторонами – маркетинговыми и аналитическими сервисами, которые и собирают информацию.


Исследователи из трёх европейских университетов проанализировали работу 100 тысяч популярных сайтов, чтобы узнать, какие сценарии на них используются в процессе посещения ресурсов пользователями из Евросоюза и США; оказалось, что более четырёх тысяч сайтов собирают данные пользователей, введённые с клавиатуры, даже если человек не нажимает кнопку подтверждения для отправки набранного текста, пишет Wired в среду.

Так, 1844 сайта собирают электронные адреса европейцев, а 2950 – американских пользователей при помощи специальных форм, которые исследователи назвали «Leaky Forms» («формы с течью»; «формы, не обеспечивающие секретности»).

Также в мае 2021 исследователи нашли 52 сайта, которые кроме e-mail-адресов/логинов получали и пароли пользователей – даже до того, как человек нажмёт кнопку подтверждения (например, начав бронировать отель или оформлять подписку на новостную рассылку, а затем передумав и покинув страницу, ещё не совершив вход в сервис, но уже успев ввести логин/пароль). Авторы исследования оповестили эти сайты о проблеме, и к настоящему времени она исправлена.

Как отмечается в исследовании, «формы для утечек» на разных сайтах несколько отличаются: одни получают данные символ за символом в процессе их написания пользователем, другие целиком забирают введённое слово после того, как человек заполняет одну графу и переходит к следующей, – но в любом случае это ничем не отличается от так называемых клавиатурных шпионов (key loggers) – вредоносных программ, перехватывающих вводимую жертвой информацию с клавиатуры.

После завершения работы исследователи также обнаружили «странности» в работе Meta Pixel и TikTok Pixel – невидимых маркетинговых трекеров, которые сервисы внедряют на свои сайты, чтобы отслеживать перемещения пользователей по Интернету и показывать им рекламу. Оба инструмента в своей документации заявляют, что клиенты могут включить опцию «автоматическое продвинутое определение соответствия» (automatic advanced matching), запускающее процесс сбора данных, когда пользователь заполняет определённую форму и подтверждает отправку данных. На самом деле, отмечают исследователи, трекеры собирают хэшированные электронные адреса пользователей прежде, чем будет нажата кнопка согласия. Meta Pixel может делать это на 8438 сайтах для американцев и на 7379 сайтах – для европейцев. TikTok Pixel – на 154 и 147 соответственно.

Учёные оповестили о проблеме компании-владельцев трекеров (в конце марта и в конце апреля 2022), однако не имеют сведений, проведена ли работа по исправлению этих нарушений; на запрос Wired ответа также не было.

Исследователи отмечают, что электронная почта является очень «полезным» идентификатором для отслеживания пользователя – на разных сайтах, во время разных сессий, с мобильного или стационарного устройства – и поэтому сбор e-mail-адресов порождает риски для конфиденциальности.

Для повышения информированности пользователей и привлечения более широкого внимания к исследованию учёные создали Firefox-расширение – LeakInspector, которое должно предупреждать и защищать пользователей от незаконного сбора их данных.

Источник: d-russia.ru


Понравилась ли Вам статья?

Нравится10
  • 14 Мая 2022
  • 61
  • 0