Прошлая неделя запомнится не только новыми проблемами Apple с доступом к персональным данным в iOS. В скором времени аналогичные неприятности могут возникнуть у компании Google, которая нашла способ обойти параметры конфиденциальности в настольном и мобильном Safari и следила за пользователями через рекламу на многих популярных сайтах.

По умолчанию в мобильной и десктопной версиях Safari включена блокировка сторонних файлов cookie, поступающих от рекламодателей и других доменов, отличных от того, на котором находится пользователь в данный момент. Тем не менее, Google нашла лазейку, позволяющую обойти данные ограничения и маскировать сторонние куки, выдавая их в качестве основных, поскольку работа с ними разрешена:

Хотя большинство возможностей для слежения за пользователем блокируется, Safari делает исключение для некоторых сайтов, с которыми взаимодействует человек — например, заполняет веб-форму. Поэтому Google добавил специальный код в некоторые рекламные объявления и передавал невидимую форму, в результате Safari разрешал устанавливать любые сторонние cookie.

И как только данные файлы попадали на компьютер или смартфон пользователя, третьи лица могли устанавливать (даже вопреки явным настройкам конфиденциальности) неограниченное количество последующих сторонних cookie из-за недоработки в самом браузере.

Как только журналисты The Wall Street Journal связались с Google и попросили прокомментировать их действия, компания попыталась выкрутиться и свалить всю вину на Apple:

The Wall Street Journal неправильно характеризует, что именно произошло и почему. Мы просто использовали известную функциональность Safari, чтобы обеспечить некоторые возможности для залогиненных пользователей Google. Эти рекламные файлы не собирает личную информацию.

Автор одного из технологических блогов WSJ отмечает, что обнаруженная лазейка в Safari уже была закрыта в WebKit — проекте с открытым исходным кодом, который отвечает за рендериг веб-страниц в Safari, Chrome и множестве других продуктов, связанных с вебом. Поэтому в ближайшее время нас ожидает публичное обновление браузера.

Данная проблема была обнаружена аспирантом Стэнфордского университета Джонатаном Майером (Jonathan Mayer), который опубликовал огромную статью в своем блоге с дополнительными техническими деталями о том, как Google и другие рекламные компании обходят настройки конфиденциальности Safari. А через несколько дней данная проблема была подтверждена независимым техническим консультантом Ашканом Солтани (Ashkan Soltani).

Эксперты и обычные пользователи уже выступили с резкой критикой поискового гиганта, который получает львиную долю доходов от контекстной рекламы. Они говорят, что это совершенно неприемлемо, поскольку подобным образом себя ведут некоторые вредоносные сайты (еще в 1996 году специальная рабочая группа Инженерного совета Интернета приравняла сторонние куки к серьёзным угрозам приватности в интернете):

По-настоящему шокирует, что очень умные люди в компании Google нашли данную лазейку и придумали, как её использовать в своих целях. Неужели они не задумывались об этических аспектах своей деятельности?

В общем, слоган «Don’t be evil» во всей своей красе.


Читайте также: