ИБ-исследователь под ником Q Continuum обнаружил 287 расширений для Chrome, которые незаметно передают все данные об истории посещений сторонним компаниям. Суммарное количество установок таких расширений превышает 37,4 млн.
Специалист разработал автоматизированную систему тестирования на базе Docker с Chromium за MITM-прокси: пайплайн генерировал синтетический браузерный трафик и сопоставлял исходящие сетевые запросы с посещенными URL, выявляя утечки. Проверке подверглись 32 000 расширений из Chrome Web Store, и в итоге было найдено более 30 компаний, которые собирают такие данные.
На первый взгляд расширения представляю собой безобидные и полезные утилиты, но на самом деле запрашивают доступ к истории браузера без каких-либо обоснований. К тому же некоторые расширения дополнительно маскируют передаваемые данные (кодируют их в Base64 или шифруют AES-256), что затрудняет обнаружение.
Как отмечает специалист, часть сбора данных формально прописана в политиках конфиденциальности расширений. Однако, по словам исследователя, принимая эти соглашения, пользователи вряд ли осознают, что фактически дают согласие на слежку.
«Многие пользователи, даже зная о слежке, не понимают всех рисков и последствий, — пишет Q Continuum. — Условия обслуживания и политики конфиденциальности намеренно усложнены, поэтому люди даже не подозревают, что согласились на сбор данных».
Исследователь уличил в сборе данных Similarweb, Semrush, Alibaba Group, ByteDance и аффилированную с Similarweb структуру Big Star Labs. Также под подозрение попали известные инструменты, включая кастомизатор тем Stylish, блокировщики рекламы Ad Blocker: Stands AdBlocker и Poper Blocker, CrxMouse, а также расширение самой Similarweb — SimilarWeb: Website Traffic & SEO Checker.
Еще порядка 20 млн установок из 37,4 млн вообще не удалось привязать к конкретным получателям данных: предположительно, информация утекает в руки подставных компаний или неких «партнерских аналитических сетей».
Основную порцию критики от эксперта получила компания Similarweb. В ее политике конфиденциальности сбор данных задокументирован, и Similarweb утверждает, что обезличивает информацию на стороне клиента, хотя здесь же оговаривается, что «часть этих данных может включать персональные и конфиденциальные сведения в зависимости от поисковых запросов и просматриваемого контента». К тому же финансовая отчетность компании от 27 февраля 2025 года прямо свидетельствует о том, что платформа частично зависит от данных, собираемых через браузерные расширения и мобильные приложения.
«Представьте: вы строите бизнес на эксфильтрации данных через внешне безобидные расширения, а потом продаете эту информацию крупным корпорациям. Именно так Similarweb получает часть своих данных. И это хорошее напоминание: если вы пользуетесь бесплатным, но не опенсорсным ПО — скорее всего, вы и есть продукт», — пишет Q Continuum.
