Direktlänk till inlägg 7 april 2015
Foto: Artur Marciniec/Alamy
Flera stora svenska företag och över en miljon användare har drabbats av spionage i sina datorer. Det är dold kod i ett tilläggsprogram till Googles populära webbläsare Chrome som gör att information om användarens surfvanor ”läcker”.
Informationen tankas vidare till en server i USA. Ägaren säger till DN att han säljer vidare uppgifter om surfbeteende.
DN har i flera artiklar på senare tid avslöjat allvarliga brister i it-säkerheten hos företag, myndigheter och privatpersoner. Ofta handlar det om slarv och okunnighet som gör att servrar och modem ligger helt öppna för intrång.
I dag kan vi berätta om hur dold spionkod aktivt placerats i ett populärt programtillägg som används i Googles webbläsare Chrome.
Programtillägget heter Webpage screenshot och kan laddas ned i Googles webbutik Chrome webstore. Det marknadsförs som en ”snabb och enkel lösning” för att spara skärmdumpar av webbsidor. Den har drygt 1,2 miljoner användare och har fått bra snittbetyg – 4,5 på en 5-gradig skala.
Programtillägg, eller ”plugins”, kan liknas vid appar. De installeras i webbläsare, men utvecklas av externa aktörer. Dolt i programtillägget finns alltså ett spionprogram.
Varje minut skickas information om användarnas surftrafik vidare till en server som är registrerad i USA, enligt Cristian Mariolini, it-expert på säkerhetsföretaget Sentor MSS, som gjort upptäckten.
Vi övervakar våra kunders nätverk efter tecken på dataintrång. För några veckor sedan hittade vi ett konstigt mönster i trafiken hos flera företag. Efter att ha pratat med dem hittade vi denna plugin som var installerad på de datorer som betedde sig märkligt, säger Cristian Mariolini.
Webpage screenshot
DN har verifierat att det finns ett spionprogram genom att analysera Google Chrome-tilläggets källkod, alltså den kod som beskriver hur tillägget fungerar under huven. Webbläsaren får instruktioner att hela tiden skicka i väg uppgifter om vilka hemsidor som har besökts till en server i USA. Serverns ip-adress, alltså dess ”telefonnummer”, är registrerad av en privatperson som uppger en adress i Israel.
Att uppgifter skickas vidare blir även tydligt när DN analyserar nätverkstrafiken från en testdator med programtillägget installerat. Varje minut går uppgifter vidare till servern med information om alla hemsidor som vi har besökt. Det handlar framför allt om sajternas adresser och dess titel.
Flera stora svenska företag har drabbats av informationsläckor från programtillägget, enligt Sentor MSS. Säkerhetsföretaget har varit i kontakt med bolagen, men vill av säkerhetsskäl inte uppge vilka det handlar om.
Spionprogrammet skickar även data från hemsidor som har krypterade anslutningar. Någon polisanmälan har inte gjorts. Skälet uppges vara att polisen sällan har förmågan att utreda sådana ärenden.
Innehållen i mejl och innehållet på de besökta sajterna skickas inte över. Däremot har spionprogrammet den tekniska behörigheten att samla in sådan information – om de som ligger bakom det vill.
DN har varit i kontakt med ägaren till Webpage screenshot som bekräftar att han har lagt in en kod som skickar vidare uppgifter om vilka sajter som användarna besöker. Syftet är att ”ta fram statistik om surfbeteenden” och sälja detta. Han säger att informationen är värdefull kommersiellt och han uppger samtidigt att det inte är användarnas enskilda besök som är intressanta, utan surfbeteenden på olika sajter sammantaget.
I informationen om programtilllägget står det att det använder sig av ”anonym statistikinsamling”, men detta handlar alltså inte om statistikinsamling om programtillläggets användning – utan om alla besök som en person gör.
Men ni samlar ju inte bara in data om användningen av ert programtillägg, utan från alla hemsidor. Varför?
Jag skulle vilja lägga mer kraft åt att förbättra programtillägget, vilket är anledningen till att jag letar efter alternativa finansieringsmöjligheter, skriver utvecklaren i ett mejl till DN.
Det är också uppenbart att skaparen av programtillägget på olika sätt har försökt dölja att informationen tankas vidare.
”Spionkoden” finns inte i tilläggets källkod från början utan hämtas på internet. Adressen till koden är inte skriven i klartext, utan är uppdelad i flera olika delar för att det ska bli svårt att hitta – nästan som en rebus. Det är inte praxis i programmeringssammanhang.
Spionprogrammet aktiveras först efter en vecka, vilket gör att ingen misstänker något skumt initialt. Det är sannolikt därför det har gått igenom olika säkerhetskontroller. Dessutom kodas all surfdata så att den blir svårare att läsa.
Det är häpnadsväckande att ett så populärt tillägg har den här typen av funktionalitet. Och det är uppenbart att människor har allt för stort förtroende för att Google har kollat de tillägg som finns i Chrome webstore. Man måste hantera det som finns i Chrome webstore på samma sätt som allt annat man laddar ned från internet, med största möjliga försiktighet, säger Cristian Mariolini.
Hur ser ni på utvecklarens kommentar om insamlingen?
Det finns ingen logisk anledning till att pluginen skulle samla denna typ av integritetskränkande data. Datan är över huvud taget inte anonymiserad, tvärtom samlar han ju även in bland det bästa man kan använda för att identifiera människor, nämligen användarnamn till e-post via titeln på sidor, säger Cristian Mariolini.
Det är oklart om det är brottsligt att samla in information på detta sätt, men det är sannolikt ett brott mot Googles regelverk där det står att spionprogram inte är tillåtet.
DN har velat ställa flera frågor till Google om omständigheterna kring spionkoden. Efter ett antal påstötningar väljer dock företaget att svara korthugget, i skriftlig form: ”Vi kommenterar generellt inte enskilda fall, men för att försäkra oss om att Chromeanvändare har bästa möjliga upplevelse så tar vi bort så kallade extentions (tillägg) som innehåller malware (sabotageprogram, DN:s anmärkning) eller som gör anspråk på att göra en sak, och gör en annan.”
Källa: DN
Må | Ti | On | To | Fr | Lö | Sö | |||
1 |
2 |
3 | 4 |
5 |
|||||
6 | 7 | 8 |
9 | 10 | 11 | 12 | |||
13 | 14 | 15 |
16 | 17 | 18 | 19 | |||
20 | 21 | 22 | 23 | 24 | 25 | 26 | |||
27 | 28 | 29 | 30 | ||||||
|
Alla bidrag är välkommna, stora som små, så att bloggen kan hållas igång!
Swisha till: 0730708892