Cookies куки
Практически каждый веб сайт знает, когда вы посещали его в
последний раз. Веб-сайты держат вас авторизованными и напоминают
вам про корзину с товарами и большинство пользователей воспринимает
такое поведение как данность.
Магия кастомизации и персонализации возможна благодаря Cookies.
Cookies это небольшая по объему информация которая хранится на
вашем девайсе и отправляется с каждым запросом веб-сайту и помогает
ему с вашей идентификацией.
Несмотря на то, что функционал cookies может быть полезен в
повышении безопасности и доступности веб сайтов, долгое время
ведутся дебаты на тему слежения за пользователями. Большая часть
вопросов касается преследования пользователей по всему интернету
через cookies которые используются для рекламы, а так же то как
такая информация может быть использована сторонними компаниями для
манипуляций.
С тех пор как появилась ePrivacy директива и GDPR, тему cookies
стали камнем преткновения онлайн приватности.
В течении прошлого месяца, удаляя Zoom (компания Threatspike EDR), мы обнаружили неоднократный доступ к Google Chrome cookie в процессе удаления:
Это было крайне подозрительно. Мы решили провести небольшое исследование и проверить является ли это поведение зловредным.
Мы проделали следующие шаги:
- Почистили куки файл
- Скачали Zoom
- Поклацали сайт zoom.us
- Походили по разным веб-сайтам, включая малоизвестные
- Сохранили куки
- Удалили Zoom
- Сохранили куки еще раз для сравнения и что бы понять какие конкретно затрагивает Zoom.
Часть куков была добавлена при посещении сайта zoom.us, часть при авторизации на сайте.
Это поведение ожидаемо. Но когда мы попытались удалить Zoom клиент с компьютера под управлением Windows мы заметили интересное поведение. Файл install.exe обращается к Chrome Cookies и читает, в том числе куки не относящиеся к Zoom.
Изучив операции чтения, мы задались вопросом читает ли Zoom только определенные куки с определенных веб-сайтов?
Мы повторили шаги описанные выше с различным количеством куков и с различными веб сайтами. Причина по которой Zoom читает куки веб сайта фанатов какой-то поп звезды или Итальянского супермаркета, навряд ли кража информации. Исходя из наших тестов, паттерн чтения похож на бинарный поиск собственных кук.
Однако, мы все-таки нашли аномальное и интересное поведения в процессе удаления сравнив куки до и после. Процесс installer.exe записывает новые куки:
Куки без срока (так же известные как сессионные куки) будут удалены при закрытии браузера. Но куки NPS_0487a3ac_throttle, NPS_0487a3ac_last_seen, _zm_kms and _zm_everlogin_type имеют срок годности. Последняя запись имеет срок 10 лет:
Судя по имени "everlogin" это запись определяет использовать ли пользователь Zoom. И тот, факт, что эта запись будет храниться 10 лет после того как приложение было удалено, нарушает ePrivacy директиву:
У всех постоянных файлов cookie должен быть срок годности, записанный в их код, но их продолжительность может варьироваться. Согласно Директиве о конфиденциальности, они не должны хранится дольше 12 месяцев, но на практике они могут оставаться на вашем устройстве намного дольше, если вы не примете меры.
Слежение за пользовательской активность в интернете не самая ужасная вещь сама по себе. Однако, как правило пользователи не будут вдаваться в подробности "Принять все куки" кнопки. Зачастую, только на совести компании уважать ePrivacy, GDPR или нет.
Подобные находки заставляют усомниться в честности использования персональных данных в масштабах всего интернета и всевозможных сервисов.
