Chrome 69 - это полнофункциональное нападение на конфиденциальность пользователя

Chrome 69 - это полнофункциональное нападение на конфиденциальность пользователя

Возможно, у Microsoft была точка.

Одиннадцать дней назад мы выделили Microsoft для ее теперь запутанного плана добавления «предупреждений» к Windows 10, которые подталкивали бы пользователей к использованию Chrome и Firefox и к собственному браузеру Microsoft, Edge. После свирепого протеста Редмонд отступил от этого плана, правильно восприняв проблему как мост слишком далеко, когда дело доходит до распространения FUD на своих конкурентов в попытке увеличить долю на рынке браузера. Но самое последнее поведение Google в Chrome 69 не делает ничего подобного, и компания приняла некоторые новые подходы, которые размывают разницу между тем, что означает, что он входит в Chrome, или нет, переопределяя предыдущие пользовательские настройки в этом процессе. Кроме того, объяснение компании по этим поведением не содержит воды.

Начнем с самого начала. До Chrome 69 Chrome предложил дополнительную функцию входа в систему. Эта функция не имела ничего общего с вашими учетными записями в таких сервисах, как Gmail или YouTube, вместо этого она позволяла Google синхронизировать такие вещи, как файлы cookie и закладки, на всех устройствах, на которых вы использовали службы Chrome. Многие люди приняли эту функцию, но Google сохранила ее. Старый значок входа был похож на пустой план человека. При нажатии на него отображается следующее сообщение:

Chrome 69 - это полнофункциональное нападение на конфиденциальность пользователя

Но теперь Google изменил это сообщение. Загрузите и установите Chrome 69, и теперь браузер рассматривает этот параметр входа в систему, если вы входите в учетную запись Google. Другими словами, Google теперь рассматривает вход в Chrome и учетную запись Google как эквивалент.

Не было никаких оснований для этого. Указанное обоснование для этого изменения, выраженное инженером и менеджером Google Адрианом Портером Фелтом, выглядит следующим образом (нить связана ниже, но мы подведем итоги :)

Мои товарищи по команде внесли это изменение, чтобы не допустить сюрпризов в сценарии совместного устройства. Раньше люди иногда выходили из области содержимого и думали, что это означает, что они больше не вошли в Chrome, что может вызвать проблемы на общем устройстве. 3 /

- Adrienne Porter Felt (@__apf__) 24 сентября 2018 года

Это делает поверхностный смысл. Идея состоит в том, что люди думали, что они подписывают Chrome, когда они фактически выходят из области содержимого. Когда устройства разделяются, это может привести к заражению кросс-печеньем (вместо того, чтобы загружать чужие файлы cookie и предпочтения, а не ваши собственные). И конечно, это проблема. Но, как указывает криптограф и профессор Мэтью Грин, это только проблема для людей, которые в первую очередь подписываются на Chrome. Если вы не входите в Chrome, «исправление» Google ничего не исправить для вас. Это сломало вещи. Это приводит к путанице именно потому, что Google больше не отличается от того, вошли ли вы в браузер или нет. Теперь, когда вы входите в Chrome (потому что теперь вы вынуждены подписываться на Chrome), вы видите новое меню, в котором не ясно, что делает синяя кнопка «Синхронизация как Мэтью». Это значит, что вы уже синхронизированы или приглашаете вас инициировать синхронизацию?

Изображение Мэтью Грин
Изображение Мэтью Грин

Эти изменения являются частью того, что известно как темный узор. Если шаблон определен как регулярность в мире (спроектированный или естественный), который повторяется предсказуемым образом, темный шаблон является попыткой обмануть пользователей, создавая параметры интерфейса, которые выглядят как пользователи, которых ожидают видеть. Ниже приведен пример темного шаблона настроек конфиденциальности Google, который мы рассмотрели в 2016 году:

Chrome 69 - это полнофункциональное нападение на конфиденциальность пользователя

Обратите внимание, как работают ящики. Информация на вкладках «Фотографии», «YouTube», «Видео», «+1» и «Обзоры» предоставляется другим пользователям, если вы установите флажок в этих блоках и сохраните конфиденциальность, если вы удалите чек. Но поставив чек в последнем поле - поле с надписью «Не показывайте мои общедоступные фотографии Google+ в качестве фоновых изображений в продуктах и ​​сервисах Google», вы даете разрешение Google сделать именно это. Во-первых, компания обучает вас ожидать, что пользовательский интерфейс будет действовать определенным образом, а затем изменит действия среднего уровня, поэтому вы выбираете действие, которое оно хочет выбрать, а не ваш фактический предполагаемый результат.

Как пишет Грин:

Google изменил вопрос о согласии на загрузку данных с чего-то утвердительного, что я действительно должен был приложить усилия - ввести мои учетные данные Google и подписаться в Chrome - во что-то, что я могу теперь сделать с помощью одного случайного щелчка. Это темный узор. Независимо от того, преднамеренно или нет, это позволяет легко активировать синхронизацию, не зная об этом, или думать, что они уже синхронизируются, и, следовательно, нет никаких дополнительных затрат на увеличение доступа Google к их данным.

Неясно, нужно ли нажать «Синхронизация», что вам нужно делать или нет. Некоторые из них видели, что функция Sync полностью активизируется, щелкнув ее один раз, но на этом этапе может быть задействована двухфакторная аутентификация.

Хм, в dev, я считаю, что я просто нажимаю «sync as» в пользовательском коммутаторе и включаю все настройки синхронизации. Я получаю экран «congrats» с кнопкой «отменить». Не уверен в стабильности.

- lcamtuf (@lcamtuf) 22 сентября 2018 г.

Но такое развертывание шаблонов принципиально токсично для доверия. Это особенно токсично для компании, которая доказала свою готовность превзойти ожидания пользователей, в том числе многообещающие два года назад, чтобы не отслеживать пользователей, которые отключили отслеживание местоположений, но только позже признают, что они все еще отслеживают пользователей, которые отключили отслеживание местоположения. Google также признал, что третьи стороны могут использовать Gmail для данных.

На личную заметку, это глубоко неудивительно, когда Google это делает. Грин указывает, что Google обещает уважать настройки синхронизации пользователя после преднамеренного нарушения соглашений, которые конечные пользователи используют, чтобы сообщить Google, что они не хотят синхронизировать свое программное обеспечение между устройствами. Но это неудивительно. Это то, что Google сделал много лет назад со своей собственной системой отказа от автоматического обновления. Компания устанавливает механизм, с помощью которого пользователи могут отказаться от чего-то, а затем нарушает этот механизм, если слишком много людей откажутся от него. Мы полагаем, что Google будет уважать решение людей, которые не хотят синхронизировать свои данные со своими серверами, когда он просто нарушил механизм, по которому люди ранее уведомляли его о том, что они не хотят синхронизировать свои серверы? Смешивая воды с логином, который не является логином и панель «Синхронизация», которая может легко активировать функцию, которую пользователи не хотят, не является улучшением - они такие же скучные, как игры, которые Microsoft играла с обновлением Windows 10 инструмент рядом с официальным концом свободного периода развертывания Windows 10.

Такое поведение глубоко вредит любой концепции доверия. В сочетании с бесконечными скандалами конфиденциальности, выходящими из Google, и готовностью компании помочь китайскому правительству следить за своими собственными людьми, и стоит спросить, почему мы вообще уважаем эту компанию.

Читать далее

Новая волна нападений Spectre-Class может появиться для процессоров Intel
Новая волна нападений Spectre-Class может появиться для процессоров Intel

Новый набор уязвимостей для процессора может быть подключен, причем до восьми различных атак, предназначенных для целевых процессоров Intel, но мы рекомендуем использовать подход ожидания и наблюдения.