Supercookies
viernes 10 de marzo de 2017
Hasta en la época moderna existen usuarios que se sorprenden al recibir publicidad de temática relacionada a lo introducido en su buscador. El autor de esta edición una vez afrontó al bloqueador de publicidad desactivado, y, por lo tanto, recibió muchos enlaces a archivos nocivos. La publicidad estaba relacionada a sus intereses ;)
La causa es obvia: el software (sobre todo, gratuito) recaba la información sobre el usuario para venderla a sus socios.
La Comisión Federal de Comercio de EE.UU. (US Federal Trade Commission, FTC) multó a un productor importante de televisores inteligentes Vizio con $2,2 millones para espiar a sus clientes. La información recibida Vizio la vendía a terceras empresas.
Según la nota de prensa FTC, Vizio instaló un software de supervisión en 11 millones de televisores “inteligentes” y lo usaba para recabar los datos sobre la actitud de los usuarios, sus direcciones IP, los puntos de acceso más cercanos y códigos ZIP. El productor así mismo recababa los datos sobre la fecha, hora y canal de transmisión de shows de TV vistos por el usuario, así como la información de consultas en tiempo real o en diferido etc. La información recabada Vizio la vendía a terceras empresas que la usaban para visualizar la publicidad objetivo.
Además, las empresas de publicidad recibían la información exhaustiva sobre los usuarios: edad, sexo, estado civil, nivel de ingresos, la información sobre la formación recibida.
El productor camuflaba el software espía por la función Smart Interactivity que debía visualizar las recomendaciones y ofrecer a los usuarios consultar algún contenido. En realidad la función no daba ninguna recomendación, y los usuarios ni siquiera se percataban de que el televisor estaba supervisando atentamente cada paso suyo. La fiscalía informa que los desarrolladores de Vizio a propósito lanzaban las actualizaciones con función Smart Interactivity hasta para los modelos de televisores más antiguos para recabar los datos sobre mayor número de gente.
https://www.ftc.gov/system/files/documents/cases/170206_vizio_2017.02.06_complaint.pdf
http://www.securitylab.ru/news/485264.php
No se entiende muy bien cómo un televisor pudo recabar la información sobre el sexo y la edad. Pero también es posible: los televisores de hoy pueden recibir los comandos de voz, es decir, «escuchan» constantemente lo que pasa alrededor.
Los televisores «inteligentes» Samsung no solo reconocen los comandos de voz del usuario, sino también los transfieren a terceros. «Para asegurar el funcionamiento de la función de reconocimiento de la coz, algunos comandos de voz pueden ser transferidos (junto con la información sobre su dispositivo, así mismo, los datos sobre su identificador) a servicios terceros que convierten audio a texto o a otros formatos necesarios para el funcionamiento de la función de reconocimiento de voz», - dicen las normas de la política de confidencialidad de Samsung.
Además, la empresa reserva el derecho de guardar los comandos de voz recabados y el texto relacionado a los mismos. De esta forma, Samsung puede identificar al usuario y «escuchar» todo lo que el mismo dice a su televisor.
«Por favor, preste atención a si sus palabras contienen la información personal u otra información sensible porque estos datos serán transferidos a terceros», - advierte Samsung. Por lo tanto, queda claro que las contraseñas de los que, por ejemplo, usando un televisor inteligente usa los servicios de la banca en línea, se envían regularmente a servicios terceros.
¡Un regalo perfecto para espías industriales!
Pero no basta con recabar la información, porque los usuarios modernos tienen varios equipos y dispositivos móviles y pueden conectarse a Internet para sus asuntos personales no solo desde casa, sino también desde du equipo de trabajo. Sería útil identificarlo sin importar la ubicación. Y esto es posible, porque cada uno tiene sus propias costumbres dondequiera que esté.
Un grupo de investigadores de las universidades de Standford y Prinston desarrolló un sistema que detecta perfiles en Twitter. El algoritmo seleccionó el perfil correcto en el 72% de los casos, y en el 8l% el perfil estaba en TOP-15.
Los investigadores suponían que un usuario con mayor probabilidad seguirá un enlace compartido por sus amigos en las redes sociales que un enlace aleatorio. Tomando en cuenta esta información, así como el historial del navegador de una fuente anónima (recibido con un complemento instalado en el navegador), los investigadores pueden calcular la probabilidad de si este historial de consultas fue creado por algún usuario de Twitter. Esta costumbre de seguir enlaces desenmascara al usuario y este procedimiento tardará menos de un minuto.
¿Y si el usuario no siempre estará en Twitter u otras redes sociales lo que no permitirá detectarle a varias empresas publicitarias? Se puede, al deanonimizar al usuario, luego prestar atención a las características constantes del equipo cuyo dueño recibirá publicidad. Sí, también es posible.
En el equipo del usuario se realiza toda la configuración específica y única del navegador y el equipo en total. Estos datos se unen en una línea enorme, luego una función especial la convierte en unos identificadores compactos.
No vamos a ver todas las opciones que pueden ser usadas para crear un identificador (pueden ser localizadas, por ejemplo, siguiendo un enlace más arriba). Pero vamos a ver algunos ejemplos. Se solicita el huso horario (lo que puede localizar su ubicación con precisión suficiente para la publicidad), el idioma del sistema operativo y navegador, el tamaño de la pantalla, los colores. Se solicitan las tecnologías soportadas y los complementos instalados al navegador. La versión del sistema operativo, el tipo del procesador, el contenido del software – se usan no solo las opciones del sistema.
El tipo de letra depende de la plataforma. Las imágenes similares, al parecer, idénticas, creadas en varios navegadores, se transformarán en varios conjuntos de bits. ¿Por qué? Esto depende del procesador, tarjeta de video, controladores de la tarjeta de video, bibliotecas del sistema, tales como direct X, sistemas de creación de tipos de letra, sombras — todo esto puede ser distinto en cada equipo, por lo tanto, el conjunto de bits resultante será distinto casi en cada equipo que tiene distinto hardware y software. Y esta línea larga obtenida al serializar Сanvas se añadirá a la imagen resultante, y veremos una línea enorme.
Las investigaciones confirman que la precisión llega a 90-91%. ¡Un resultado estupendo!
Una vez recibido el identificador, es mejor ocultarlo en el equipo para que el usuario no pueda borrarlo.
Como sabemos, el navegador gurda las opciones en archivos http cookie. Se puede guardarlo allí, pero los usuarios hoy día son muy listos y limpian estos cookies. Por eso los “supercookies” ayudan a los publicitantes (evercookie, persistent cookie).
Como los publicitantes y los demás “espías” tiene varias opciones para recibir la información sobre Vd., los navegadores modernos siguen usando Flash – un complemento autónomo del navegador que guarda la configuración de manera autónoma, y, por lo tanto, el navegador no borra sus «cookies» (Flash cookies).
Hasta hace poco era casi imposible borrar Flash cookies. Había una página especial en el sitio web de macromedia donde había que entrar, hacer clic sobre el botón: «Sí, deseo limpiar Flash cookies», y entonces se limpian, es decir, sin esta página sería imposible limpiarlos.
Otro más complemento del navegador es Silverlight, seguido por Silverlight Cookies, o Isolated Storage. Es un sitio dedicado a propósito en el disco duro donde se guarda la información sobre cookies. Tampoco se puede limpiarlo usando la función de limpiar “cookies”.
El identificador puede ser guardado en la cache del navegador. Es una cosa bastante inteligente: un sitio web, al entregar algún archivo al navegador, puede especificar que este archivo no será cambiado durante 50 años, por ejemplo, - y el navegador no volverá a solicitarlo. Esto permitirá guardar los identificadores en una imagen especial en los bytes de la cual está codificada toda la información guardada por Vd. Para cada nueva consulta de la página del sitio web requerido, se leen los bytes de la misma y se restaura la información guardada que Vd. deseaba guardar en cookie.
Y no es todo. Se puede guardar la información «no destruible» en HTML5 Session Storage, HTML5 Local Storage, HTML5 Global Storage, HTML5 Database Storage a través de SQLite (https://ru-sf.ru/threads/neudaljaemye-cookie-evercookie.894)...
#cookies #JavaScript #anonimato #seguridad #supervisión_de la ubicación #vigilancia #navegadorEl mundo de antivirus recomienda
Al consultar los sitios web, sobre todo, las plataformas comerciales, el usuario se registra en los listados de envío de publicidad, y no se puede hacer nada con eso. Pero se puede reducir el riesgo al desactivar el uso de JavaScript (para los sitios web donde es posible hacerlo) y los complementos no usados, así como al limpiar el historial del navegador regularmente, es decir, al borrar los cookies guardados y limpiar la caché.
Nos importa su opinión
Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.
Comentarios de usuarios
azimut
00:13:27 2017-03-11
Неуёмный Обыватель
23:33:17 2017-03-10
Неуёмный Обыватель
08:55:15 2017-03-10