Как стать автором
Обновить

Новый API для мобильной версии Google Chrome подвергли критике за нарушение конфиденциальности

Время на прочтение 3 мин
Количество просмотров 4.4K
image

Разработка Google Chrome столкнулась с критикой из-за нового API — getInstalledRelatedApps. По мнению экспертов, он может серьезно повлиять на конфиденциальность данных пользователей.

API getInstalledRelatedApps разрабатывают с 2015 года. В Chrome 59 его внедрили в качестве эксперимента. API позволяет разработчикам определить, установлено ли их приложение на устройстве пользователя и, к примеру, избежать выведения одного уведомления дважды.

Эксперты, однако, указывают, что getInstalledRelatedApps спроектирован, скорее, в интересах девелоперов, а при некорректном использовании несет угрозу для безопасности и конфиденциальности данных пользователей. Если владелец ресурса с помощью getInstalledRelatedApps вычислит, какие приложения установлены на устройстве, то сможет использовать эту информацию в своих целях. Еще большая угроза заключается в том, что злоумышленники при получении такой информации смогут формировать целевые фишинговые письма или взламывать устройство через уязвимости в приложениях.

Дэниел Брателл, разработчик браузера Opera, задался вопросом о том, настолько ли необходим этот API: «Мобильная сеть уже страдает от жестких попыток заставить веб-пользователей заменить использование сайтов на приложения, и это выглядит как попытка перенаправить их из опеннета в закрытые экосистемы».

Редактор спецификаций и инженер Google Райан Кансо подтвердил, что API разрабатывается, скорее, под компании: «Хотя это не тот API, который принесет непосредственную пользу пользователям, они косвенно выиграют от использования благодаря улучшенному веб-интерфейсу».

Позднее в дискуссию вступил инженер Google Йоав Вайс, чтобы выразить обеспокоенность по поводу последствий для конфиденциальности от внедрения API:«Знание того, что определенные приложения были установлены, может содержать ценную и потенциально конфиденциальную информацию о пользователе: уровень дохода, статус отношений, сексуальную ориентацию и т. д.».

Питер Снайдер, исследователь конфиденциальности в браузере производителя Brave, выразил обеспокоенность тем, что getInstalledRelatedApps может использоваться для дактилоскопии пользователей. «Если я представляю компанию с большим количеством приложений (например, Google), с 16-32 приложениями, зарегистрированными в магазинах, то подмножество приложений, установленных любым пользователем, вероятно, будет очень сильным полуидентификатором, что несет риск для отпечатка устройства, не так ли?».

Кансо в ответ сообщил, что в спецификации предусмотрены механизмы для предотвращения злоупотреблений — например, приложения и веб-сайты должны объявлять ассоциации друг с другом, поэтому сторонний веб-сайт не может запрашивать приложения другой компании на устройстве с целью анализа или снятия отпечатков устройства.

Однако издатели прилагают усилия к тому, чтобы ослабить ограничения. Инженер PayPal сказал, что платежная система хочет иметь возможность запускать собственное приложение с помощью кнопки веб-платежа, которая находится в iframe. Мэтт Джука, инженер Google, отвечая на предложение, отметил: «Немного страшно расширять API с «любого сайта, который вы посещаете, чтобы узнать, установлено ли на нем встроенное приложение», до «любого сайта, встроенного в сайт, который вы посещаете, чтобы узнать, установлено ли на нем встроенное приложение». Вайс, в свою очередь, предупредил, что предоставление доступа к сторонним фреймам может привести к злоупотреблениям: «Например, многие приложения могут ассоциироваться с adprovider.example (за плату), который предоставит 3P-фреймам AdProvider доступ к большому количеству личной информации о пользователе (например, для каких устройств они приобрели и установили приложение), а также данные отпечатка».
Теги:
Хабы:
+14
Комментарии 2
Комментарии Комментарии 2

Другие новости

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн
PG Bootcamp 2024
Дата 16 апреля
Время 09:30 – 21:00
Место
Минск Онлайн
EvaConf 2024
Дата 16 апреля
Время 11:00 – 16:00
Место
Москва Онлайн