Zoom так и не понял GDPR

в 10:52, , рубрики: Без рубрики

Zoom так и не понял GDPR - 1

Cookies — куки

Практически каждый веб сайт знает, когда вы посещали его в последний раз. Веб-сайты держат вас авторизованными и напоминают вам про корзину с товарами и большинство пользователей воспринимает такое поведение как данность.

Магия кастомизации и персонализации возможна благодаря Cookies. Cookies это небольшая по объему информация которая хранится на вашем девайсе и отправляется с каждым запросом веб-сайту и помогает ему с вашей идентификацией.

Несмотря на то, что функционал cookies может быть полезен в повышении безопасности и доступности веб сайтов, долгое время ведутся дебаты на тему слежения за пользователями. Большая часть вопросов касается преследования пользователей по всему интернету через cookies которые используются для рекламы, а так же то как такая информация может быть использована сторонними компаниями для манипуляций.

С тех пор как появилась ePrivacy директива и GDPR, тему cookies стала камнем преткновения онлайн приватности.

В течении прошлого месяца, удаляя Zoom (компания Threatspike EDR), мы обнаружили неоднократный доступ к Google Chrome cookie в процессе удаления:

Zoom так и не понял GDPR - 2

Это было крайне подозрительно. Мы решили провести небольшое исследование и проверить является ли это поведение зловредным.

Мы проделали следующие шаги:

  • Почистили куки файл
  • Скачали Zoom
  • Поклацали сайт zoom.us
  • Походили по разным веб-сайтам, включая малоизвестные
  • Сохранили куки
  • Удалили Zoom
  • Сохранили куки еще раз для сравнения и что бы понять какие конкретно затрагивает Zoom.

Часть куков была добавлена при посещении сайта zoom.us, часть при авторизации на сайте.

Zoom так и не понял GDPR - 3

Это поведение ожидаемо. Но когда мы попытались удалить Zoom клиент с компьютера под управлением Windows — мы заметили интересное поведение. Файл install.exe обращается к Chrome Cookies и читает, в том числе куки не относящиеся к Zoom.

Zoom так и не понял GDPR - 4

Изучив операции чтения, мы задались вопросом — читает ли Zoom только определенные куки с определенных веб-сайтов?

Мы повторили шаги описанные выше с различным количеством куков и с различными веб сайтами. Причина по которой Zoom читает куки веб сайта фанатов какой-то поп звезды или Итальянского супермаркета, навряд ли кража информации. Исходя из наших тестов, паттерн чтения похож на бинарный поиск собственных кук.

Однако, мы все-таки нашли аномальное и интересное поведение в процессе удаления сравнив куки до и после. Процесс installer.exe записывает новые куки:

Zoom так и не понял GDPR - 5

Куки без срока (так же известные как сессионные куки) будут удалены при закрытии браузера. Но куки NPS_0487a3ac_throttle, NPS_0487a3ac_last_seen, _zm_kms and _zm_everlogin_type имеют срок годности. Последняя запись имеет срок 10 лет:

Zoom так и не понял GDPR - 6

Судя по имени "everlogin" это запись определяет использовал ли пользователь Zoom. И тот, факт, что эта запись будет храниться 10 лет после того как приложение было удалено, нарушает ePrivacy директиву:

У всех постоянных файлов cookie должен быть срок годности, записанный в их код, но их продолжительность может варьироваться. Согласно Директиве о конфиденциальности, они не должны хранится дольше 12 месяцев, но на практике они могут оставаться на вашем устройстве намного дольше, если вы не примете меры.

Слежение за пользовательской активностью в интернете не самая ужасная вещь сама по себе. Однако, как правило пользователи не будут вдаваться в подробности "Принять все куки" кнопки. Зачастую, только на совести компании уважать ePrivacy, GDPR или нет.

Подобные находки заставляют усомниться в честности использования персональных данных в масштабах всего интернета и всевозможных сервисов.

Автор: Olkhovoi Dmitry

Источник


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js