Cookies — куки
Практически каждый веб сайт знает, когда вы посещали его в последний раз. Веб-сайты держат вас авторизованными и напоминают вам про корзину с товарами и большинство пользователей воспринимает такое поведение как данность.
Магия кастомизации и персонализации возможна благодаря Cookies. Cookies это небольшая по объему информация которая хранится на вашем девайсе и отправляется с каждым запросом веб-сайту и помогает ему с вашей идентификацией.
Несмотря на то, что функционал cookies может быть полезен в повышении безопасности и доступности веб сайтов, долгое время ведутся дебаты на тему слежения за пользователями. Большая часть вопросов касается преследования пользователей по всему интернету через cookies которые используются для рекламы, а так же то как такая информация может быть использована сторонними компаниями для манипуляций.
С тех пор как появилась ePrivacy директива и GDPR, тему cookies стала камнем преткновения онлайн приватности.
В течении прошлого месяца, удаляя Zoom (компания Threatspike EDR), мы обнаружили неоднократный доступ к Google Chrome cookie в процессе удаления:
Это было крайне подозрительно. Мы решили провести небольшое исследование и проверить является ли это поведение зловредным.
Мы проделали следующие шаги:
- Почистили куки файл
- Скачали Zoom
- Поклацали сайт zoom.us
- Походили по разным веб-сайтам, включая малоизвестные
- Сохранили куки
- Удалили Zoom
- Сохранили куки еще раз для сравнения и что бы понять какие конкретно затрагивает Zoom.
Часть куков была добавлена при посещении сайта zoom.us, часть при авторизации на сайте.
Это поведение ожидаемо. Но когда мы попытались удалить Zoom клиент с компьютера под управлением Windows — мы заметили интересное поведение. Файл install.exe обращается к Chrome Cookies и читает, в том числе куки не относящиеся к Zoom.
Изучив операции чтения, мы задались вопросом — читает ли Zoom только определенные куки с определенных веб-сайтов?
Мы повторили шаги описанные выше с различным количеством куков и с различными веб сайтами. Причина по которой Zoom читает куки веб сайта фанатов какой-то поп звезды или Итальянского супермаркета, навряд ли кража информации. Исходя из наших тестов, паттерн чтения похож на бинарный поиск собственных кук.
Однако, мы все-таки нашли аномальное и интересное поведение в процессе удаления сравнив куки до и после. Процесс installer.exe записывает новые куки:
Куки без срока (так же известные как сессионные куки) будут удалены при закрытии браузера. Но куки NPS_0487a3ac_throttle, NPS_0487a3ac_last_seen, _zm_kms and _zm_everlogin_type имеют срок годности. Последняя запись имеет срок 10 лет:
Судя по имени "everlogin" это запись определяет использовал ли пользователь Zoom. И тот, факт, что эта запись будет храниться 10 лет после того как приложение было удалено, нарушает ePrivacy директиву:
У всех постоянных файлов cookie должен быть срок годности, записанный в их код, но их продолжительность может варьироваться. Согласно Директиве о конфиденциальности, они не должны хранится дольше 12 месяцев, но на практике они могут оставаться на вашем устройстве намного дольше, если вы не примете меры.
Слежение за пользовательской активностью в интернете не самая ужасная вещь сама по себе. Однако, как правило пользователи не будут вдаваться в подробности "Принять все куки" кнопки. Зачастую, только на совести компании уважать ePrivacy, GDPR или нет.
Подобные находки заставляют усомниться в честности использования персональных данных в масштабах всего интернета и всевозможных сервисов.
Автор: Olkhovoi Dmitry
