הסכנות הנסתרות שבתוספי פיירפוקס
האם אתם יכולים לבטוח ביישומים שאתם מורידים? האם הסכמי השימוש עומדים בקצב של עולם הרוגלות? האם יישום שאתם בוטחים בו מריץ קוד זדוני ללא ידיעתכם?
כשדפדפן פיירפוקס הודיע לי שיש עדכון חדש לתוסף שבו אני משתמש שנים, אישרתי ועדכנתי אותו. בפעם הבאה שניסיתי לחפש משהו בגוגל גיליתי הפתעה - התווספו לו תוצאות "חיפוש משופר".
אני משתמש בתוסף Flashgot לסירוגין בשנים האחרונות. זהו תוסף שימושי שבכלל עוזר להוריד קבצים מרובים מאותו עמוד רשת באופן אוטומטי, ולא אמור להיות קשור לחיפוש או לגוגל.
שערו בנפשכם מה הייתה גדולה פליאתי כשפתאום בגוגל היה גם שינוי. בהתחלה חשבתי שמדובר בתכונה חדשה מבית גוגל, שכן הוא דמה מאוד להצעות התיקון בנוסח "האם התכוונת ל..?"
הקשתי על הצעה ודבר מוזר קרה: אני פתאום גולש באתר חיפוש אחר! כדי לוודא שלא נתקלתי בוירוס כלשהו או בסוג של חטיפת דפדפן, הקשתי על כפתור החזור ובחנתי את תוצאות החיפוש בעיון.
ליד התוצאות, הייתה הערה בטקסט זעיר שציינה כי מדובר ב"תכונה של Flashgot". על אף שאני מעריך את העובדה שהם טרחו ליידע אותי, זה לא הופך אותם חפים מפשע. מיד הסרתי את התוסף.
מדוע עשיתי זאת?
1. התוכנה התקינה תכונה משנית, החורגת מהתחום לו הסכמתי, ללא רשות.
2. היא שינתה את תוכן העמודים בהם אני צופה ללא אזהרה
3. נוסף על כך, היא הובילה אותי לעמוד שונה לחלוטין מהחיפושים שלי, שהופך את השינוי לפרסומת - כלומר Adware.
4. אני חושד, אם כי אין באפשרותי להוכיח זאת כי אותן "תוצאות חיפוש משופרות" מעבירות את נתוני החיפוש שלי לצד שלישי. אם החשד הזה נכון, הרי שמדובר כבר ברוגלה.
5. התוכנה מעולם לא שאלה אותי אם אני מעוניין להצטרף ל"שירות". כך פועלים מפיצי ספאם.
6. הם פגעו באמון שנתתי בהם. מי יודע מה עוד הם מעוללים למחשב שלי?
מוזילה: "הנושא אינו באחריותנו"
שלחתי אימייל לרשימת התפוצה המקצועית funsec, קהילת אבטחה/פרטיות/האקינג/כיף, כי תוסף זה של מוזילה הוא כעת רוגלה. כמעט מיד, קיבלתי פניה מאדם ידידותי, שסיפר לי שתוסף שבו הוא השתמש כדי לצפות בקצבי PDF פתוחים, PDF Downloader, החל ללא אזהרה להפנות אותו מחדש לשירות מסחרי. העובדה שהתופעה מתפשטת, לא שיפרה את הרגשתי.כמה חבר'ה ברשימה, עובדים במחלקת האבטחה של מוזילה היו מאוד מועילים. לא ראיתי הרבה יצרני תוכנה שיוצרים קשר פעיל אם קהילת אבטחת המידע, וכל פעם הדבר מרשים אותי מחדש.
קודם כל, וידאנו שאכן מדובר ב-Flashgot, ולאחר מכן וידאנו שההגדרות שלנו זהות. לעתים, מה שאני מגדיר כרוגלה, עשוי להיחשב תוכנה לגיטימית בידי אחרים.
אנשי מוזילה אישרו את הדיווח שלי. הם הסבירו שהדבר לא בתחום אחריותם, אבל הם יעבירו את הדיווח לצוות המתאים לבחינה נוספת – האם התוסף מפר את המדיניות של מוזילה?
הדפדפן בשליטת המפרסם
ככל הנראה, התכונה החדשה הוסיפה את "תוצאות החיפוש המשופרות" גם לבינג וליאהו, ומפנה גולשים לאתר בשם Surf Canyon. בהתעלם ממדיניות מוזילה, תוהה אני אם גוגל, מיקרוסופט ויאהו יתמכו בשינויים שיבוצעו מרחוק באתריהן, ועל ידי צד שלישי - למטרות פרסום. אני לא בטוח שניתן לאכוף כאן את עקרונות השימוש ההוגן, אבל זוהי שאלה מעניינת.על אף שאני מכיר בכך שמוצרי תוכנה רבים פועלים באופנים מסויימים, שעמם אינני מסכים, חלקם אפילו מזיקים. אני רק יכול לתהות מה עוד עלול לרוץ באופן מכוון על המחשב שלי, בלי ידיעתי – ואיזה טריקים אחרים כמו תקופת דגירה של שנים, יופיעו בעתיד.
עם וירוסים וסוגים אחרים של נוזקות, אני יכול להתמודד, בהכירי שמדובר בפעילות פלילית. אלה המוצרים הלגיטימיים שמתנהגים באופן אלים, שתופסים אותי לא מוכן.
ירידה בשליטתנו על המידע
מוזילה הסירה את Flashgot מהאתר ויצרה קשר עם החברה שמייצרת את התוסף. מסתבר שבתנאי השימוש של מוזילה יש סעיף "בלי הפתעות" (No Surprises) שאומר שעם פעילות משמעותית שונה ממה שהובטח במקור או כזו שקשורה לפרסום, על החברה להודיע על כך למשתמש ולקבל את אישורו.תופעות אלה הופכות לנפוצות ומידת השליטה שיש לנו על המחשבים שלנו והמידע שבהם פוחתת מדי יום. בגלל זה, אני שמח לראות שמוזילה מקדימה את המגמה, והם מיישמים את העירנות הזו לתוך המדיניות שלהם.
על וירוסים ונוזקות אחרות אני יכול להתעצבן, אולם אני מכיר בהם כפעילות פלילית. מאידך, תוכנות לגיטימיות אשר פעולתם פוגעת ומנצלת עלולות לתפוס אותי לא מוכן.
דברים שכאלה נהיים נפוצים מאוד, והשליטה שיש לנו במכונות ובמכשירים סביבנו יורדת מיום ליום. לכן אני שמח לראות שמוזילה מסתכלת קדימה, ואף משלבת את העניין במדיניותה הרשמית. אני מקווה שישקלו בחברה להתחיל לבקר באופן צמוד יותר אחר תוספים מאושרים בעתיד, על אף הקושי שבדבר.
ברצוני להודות לריד לודן ודניאל וודיץ ממוזילה, על תגובתם המהירה, פתיחותם ומקצועיותם.
גדי עברון
הוא מומחה אבטחה, ולשעבר מנהל אבטחת המידע של תהיל"ה ומקים ה-CERT הממשלתי. הטור פורסם במגזין האבטחה dark reading
פתחתם כבר תיבה במייל של המדינה?