Irakli Kalandarishvili / EyeEm / Getty
En nuestro artículo de 5000 palabras sobre «DataSpii», explicamos cómo el investigador Sam Jadali gastó decenas de miles de dólares investigando el turbio ecosistema de Internet de extensiones de navegador que recopilan y comparten su historial web. Esos historiales podrían terminar en sitios como Nacho Analytics, donde pueden revelar datos personales o corporativos.
Aquí, queremos ofrecer más detalles para el lector con curiosidad técnica sobre cómo funcionan exactamente estas extensiones de navegador y cómo se descubrieron.
Oscuridad
Descubrir qué extensiones de navegador eran responsables de desviar estos datos fue una tarea de meses. ¿Por qué fue tan difícil? En parte porque las extensiones del navegador parecían ocultar exactamente lo que estaban haciendo. Tanto Hover Zoom como SpeakIt!, por ejemplo, esperaron más de tres semanas después de la instalación en las computadoras de Jadali para comenzar la recopilación. Luego, una vez que comenzó la recopilación, se llevó a cabo mediante un código separado de las propias extensiones.
Un ejemplo: inmediatamente después de una instalación el 5 de febrero de 2023, ambas extensiones se comunicaron con los servidores designados por el desarrollador e informaron su hora de instalación, versión de instalación, versión actual e ID de extensión único. El 15 de febrero, las extensiones recibieron una actualización automática, pero aún no recopilaban ningún historial de navegación. Luego, el 1 de marzo, ambas extensiones recibieron una segunda actualización automática.
Casi de inmediato, las extensiones contactaron nuevamente a los servidores controlados por los desarrolladores e informaron la identificación única de la extensión, el tiempo de instalación y la versión actual. Aproximadamente un segundo después, las extensiones recibieron una carga útil de 156 KB, de los cuales 150 KB no se almacenaron en la carpeta de la extensión, sino en el perfil del sistema del navegador Chrome (en el caso de Jadali, el archivo estaba ubicado en C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\File System\002\p\00\00000000).
Se puede ver la extensión Hover Zoom descargando la carga útil de 156 KB en la solicitud 2103 de la siguiente captura de paquetes:
Sam Jadali
Esta carga útil contenía un archivo JavaScript minimizado que era responsable de recopilar los datos de navegación de un usuario y enviarlos a un servidor controlado por el desarrollador. El contenido del archivo se muestra en la siguiente figura:
Sam Jadali
El archivo JavaScript descargado por SpeakIt! La extensión se veía sustancialmente igual; también menciona lo mismo cr-b.hvrzm.com nombre de host que se encuentra en el archivo Hover Zoom. Estos archivos JavaScript, debido a que están almacenados en el perfil de Chrome y no actualizan la extensión real que los descargó, hacen que sea mucho más difícil para los investigadores, tanto dentro como fuera de Google, detectar la recopilación de datos.
“Si las personas examinan la extensión en sí, no verán el conjunto de instrucciones de recopilación de datos”, dijo Jadali a Ars. “Está en un lugar completamente diferente”.
“Repetimos este experimento seis veces, en numerosos escenarios”, escribió Jadali en un informe detallado. “Cada vez obtuvimos el mismo resultado. En el pasado, parecido [delaying] se han utilizado tácticas para evitar la recopilación de datos” por parte de otras extensiones del navegador.
Otras tácticas
Las ocho extensiones que identificó Jadali ocultaron su colección de otras maneras. Todos usaban codificación base64 y compresión de datos que ofuscaban los datos que se cargaban. La imagen inmediatamente debajo muestra cómo se veían a simple vista los datos cargados por Hover Zoom; la segunda imagen a continuación muestra su contenido después de ser decodificado.
Sam Jadali
Sam Jadali
Estas capturas de pantalla también muestran que Hover Zoom recopila hipervínculos y ubicaciones de imágenes de las páginas visitadas, incluso cuando se encuentran dentro de una red privada. ¡Hablalo! realizó una recopilación de datos casi idéntica. Como se señaló en el artículo principal, la recopilación de hipervínculos y recursos es importante porque puede brindar a los usuarios externos una vista panorámica de la red privada de una organización. La investigación de Jadali muestra que estos datos se enviaban a pnldsk.adclarity.com. Adclarity.com es la página de inicio de AdClarity, creador de una herramienta de inteligencia de marketing para personas en la industria de la publicidad en línea, que le dijo a Ars que había comprado los datos para un proyecto de prueba pero que ya dejó de usarlos. No hay evidencia de que Nacho Analytics publique o incluso acceda a ninguno de los datos del hipervínculo.
Jadali también observó Hover Zoom y SpeakIt! enviar otros datos de navegación a p.ymnx.co. No está claro qué es este subdominio o qué sucedió con los datos que recibió.
La recopilación de datos también fue difícil de detectar porque se transformó continuamente durante los siete meses que Jadali la rastreó. Algunas de las extensiones, por ejemplo, modificaban regularmente la codificación y la compresión utilizadas antes de cargar los datos del usuario.
La recopilación de datos fue difícil de rastrear por otras razones. Cuatro de las extensiones cargaron URL visitadas y títulos de página en lotes que iban de 10 a 50, y el tamaño del lote cambió regularmente durante el período de siete meses de la investigación de Jadali. Además, los sitios web de tres de las extensiones usaban un archivo robots.txt para evitar que los motores de búsqueda indexaran sus términos de servicio y políticas de privacidad.
Mirando a los observadores
Jadali usó navegadores con todas las extensiones sospechosas instaladas para visitar un total de más de dos docenas de URL únicas en un dominio que alojaba. Con fines de seguimiento, las URL únicas que visitó contenían cadenas largas que especificaban la hora de la visita y el sistema operativo, el navegador y la extensión que se estaba utilizando. Una de esas URL era esta:[REDACTED-DOMAIN]/samtesting.html?&os=mac&brow=crmium&v=74.0.3684.0&ext=SZ&date=mar112023&time=149pmpst&socsec=123004567&customerssn=123004567&lastname=doe&first=john&last=doe&password=mypass&p=anotherpass&apikey=XYZ
Excepto por la visita de su navegador de laboratorio usando una de las extensiones, Jadali tuvo cuidado de mantener privadas las dos docenas de URL únicas. Sin embargo, aproximadamente una hora después de cada visita, Nacho Analytics publicó cada enlace. Debido a que Jadali controlaba el dominio que alojaba cada una de las URL, pudo realizar un seguimiento de las visitas de seguimiento que recibieron los enlaces. A las tres horas de ser publicado en Nacho Analytics, una dirección IP de un tercero también visitó cada una de las URL.
Los registros de Jadali muestran que el enlace anterior recibe la siguiente solicitud web:184.72.115.35 - - [12/Mar/2023:01:03:45 +0000] "GET /samtesting.html?&os=mac&brow=crmium&v=74.0.3684.0&ext=SZ&date=mar112023&time=149pmpst&socsec=123004567&customerssn=123004567&lastname=doe&first=john&last=doe&password=mypass&p=anotherpass&apikey=XYZ HTTP/1.1" 200 198 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/600.1.25 (KHTML, like Gecko) Version/8.0 Safari/600.1.25"
¿Quién estaba detrás de esta nueva colección? Jadali dijo que una de las cinco direcciones IP siguientes visitó cada una de sus URL de prueba:
- 54.209.60.63
- 54.175.74.27
- 54.86.66.252
- 52.71.155.178
- 184.72.115.35
Las direcciones IP no solo visitaron las URL del dominio de Jadali, en muchos casos también descargaron activamente una base de datos SQL alojada por las páginas. La descarga se produjo en páginas que alojaban bases de datos con tamaños de 1,6 KB, 9 KB, 425 KB y 4,2 MB. Sin embargo, no se descargó una base de datos de 8,4 MB, lo que llevó a Jadali a especular que superó un umbral de tamaño desconocido designado por la persona o el script que controlaba las visitas a la página.
Jadali usó registros DNS directos e inversos para rastrear las cinco direcciones IP hasta kontera.com. La URL http://kontera.com/ redirige a los navegadores al sitio web de Amobee. Una división de la empresa de telecomunicaciones de Singapur Singtel, Amobee es una empresa de publicidad que compró la empresa de análisis Kontera en 2023 por 150 millones de dólares.
Los representantes de Amobee no respondieron a los mensajes que preguntaban cómo obtuvieron los enlaces que Jadali observó que visitaban las direcciones IP de Kontera o qué hizo la empresa con los archivos SQL descargados.
Jadali dijo que si estas direcciones IP visitaron URL oscuras que había creado solo unas horas antes, es una apuesta razonable que visitaron muchas, muchas otras.
«Es posible que puedan estar analizando esas páginas con fines publicitarios o de marketing», dijo a Ars. «Quizás usen los datos del contenido de la página para entregar anuncios relacionados con el contenido. Sin embargo, como muestra DataSpii, ¿cómo sabemos realmente qué hacen las empresas con nuestros datos?»
