Yeni bir soruşturma, yaygın olarak kullanılan onlarca tarayıcı eklentisinin kullanıcı verilerini toplayıp üçüncü taraflara sattığını, çoğu zaman tam yasal onay gizlilik politikalarında gizlenmiş olduğunu ortaya koydu.
Araştırma, tarafından LayerX Security yapılan araştırma, en az 6,5 milyon kullanıcıyı etkileyen ve kişisel verileri açıkça para kazandıran 80’den fazla tarayıcı eklentisini tespit etti.
Gizlice bilgi sızdıran geleneksel kötü niyetli uzantıların aksine, işaretlenen araçların çoğu yasal sınırlar içinde çalışır. Geliştiriciler, gizlilik politikalarında veri toplama ve yeniden satış uygulamalarını açıkça açıklar, bu da mevcut düzenlemeler kapsamında bu faaliyetin izin verilmesi anlamına gelir.
Araştırmacılar, sorunun reklam engelleyiciler, medya araçları ve verimlilik eklentileri dahil olmak üzere farklı uzantı kategorilerinde yaygın olduğunu buldu. Bir durumda, toplam 5,5 milyondan fazla kullanıcı tabanına sahip bir grup reklam engelleme eklentisinin gezinme verisini toplayıp sattığı tespit edildi.
Toplanan veriler değişkenlik gösterse de, gezinme aktivitesi, yayın alışkanlıkları, demografik içgörüler ve yaş, cinsiyet gibi çıkarılan kişisel özellikleri içerebilir. Bazı uzantıların Netflix, Amazon Prime Video ve diğer büyük hizmetler gibi platformlarda faaliyetleri takip ettiği de tespit edildi.
Bu uygulamaları mümkün kılan temel faktörlerden biri, nadiren bilgilendirilse bile kullanıcı onayı olmasıdır. LayerX’e göre, birçok kullanıcı izinleri ve gizlilik şartlarını incelemeden kabul ediyor, bu da eklentilerin verilerini yasal olarak toplamasına ve satmasına olanak sağlıyor.
Aynı zamanda, araştırma tarayıcı uzantısı ekosistemindeki daha geniş şeffaflık boşluklarını da ortaya koyuyor. Web Store’daki Chrome uzantıların yaklaşık %71’i hiç gizlilik politikası yayınlamaz, bu da kullanıcıların verilerinin nasıl işlendiğini anlamalarını zorlaştırır.
Güvenlik uzmanları, tarayıcı uzantılarının gezinme geçmişi ve sayfa içeriği dahil hassas bilgilere geniş erişime sahip olduğunu, bunun hem yasal hem de kötü niyetli veri toplamanın potansiyel etkisini artırdığını belirtiyor.
Bulgular, çift riskli bir modele işaret ediyor. Bir tarafta, kullanıcı verilerini açıklanan uygulamalarla para kazanan açıkça uyumlu uzantılar var. Öte yandan, benzer erişim ayrıcalıklarını açıklamadan sömüren kötü niyetli veya tehlikeye girmiş uzantılar.
Tarayıcı tabanlı araçlar işlevsellik açısından genişlemeye devam ettikçe, araştırmacular uzantı ekosisteminin büyük ölçekli veri toplama için büyük ölçüde düzenlenmemiş bir kanal olarak kaldığını uyarıyor. Geniş izinler, sınırlı denetim ve düşük kullanıcı farkındalığının birleşimi, kişisel verilerin büyük ölçekte para kazanabileceği koşullar yaratıyor; çoğu zaman anlamlı şeffaflık olmadan.