Użytkownicy popularnego dodatku do przeglądarki, Steam Inventory Helper, zobaczyli dzisiaj powiadomienie o wymaganych nowych uprawnieniach. Większość z nich pewnie nawet nie kiwnęła głową i po prostu zaakceptowała zmiany. Niestety ta decyzja poważnie zagroziła ich prywatności.
https://www.reddit.com/u/Dabbleh
Uprawnienia o które, poprosił dodatek to “Możliwość odczytu i zmiany danych w każdej stronie, którą odwiedzasz”. Od razu nasuwa się pytanie, po co taka możliwość dodatkowi usprawniającemu zarządzanie ekwipunkiem steam? Pod opublikowanym na forum reddit zdjęciem prezentującym nowe wymagane uprawnienia, jeden z użytkowników od razu przeprowadził śledztwo. Skracając sprawy techniczne do minimum, w plikach rozszerzenia pojawił się nowy skrypt, frame.js, uruchamiany na początku każdej otwartej strony (nawet pustej karty about:blank).
Niestety, działania skryptu frame.js są co najmniej niepokojące. Monitoruje on wszystko, co się dzieje na dowolnej stronie, którą otworzymy – moment wejścia na nią, to skąd przychodzimy, to kiedy z niej wychodzimy czy nawet, to czy poruszamy myszką! To jednak nie jest najgorsze, po kliknięciu w dowolny link, ten jest przesyłany do kolejnego skryptu. A ten, każdą informację, którą dostaje, może przesłać na zewnątrz.
W teorii to jeszcze nie musi oznaczać niczego złego. Gwoli ścisłości skrypty biorąc pod uwagę nazewnictwo niektórych funkcji, wydają się być wykorzystywane w celach marketingowych (do wyświetlania reklam i tym podobnych). Trzeba mieć jednak świadomość, że teraz dowolna zmiana w skrypcie nie będzie z wami konsultowana. Mimo nie wyrządzania na ten moment bezpośrednio zła, wasza prywatność jest poważnie zagrożona. Korporacje takie jak Google wprost mówią o przechowywaniu tego typu danych oraz politykach z nimi związanymi. Tutaj nie wiemy nic. Osobiście rekomendowałbym usunięcie dodatku z przeglądarki, dopóki sprawa nie zostanie wyjaśniona.
Aktualizacja:
Autorzy plugina chyba nie bardzo wiedzą co mają ze sobą zrobić. Około godziny 16 na oficjalnej grupie Steam rozszerzenia pojawiły się przeprosiny z obietnicą usunięcia wprowadzonych zmian. Użytkownicy zostali poinformowani, że za jakiś czas wystarczy dodatek ponownie zainstalować. Niestety niewiele później post z przeprosinami zaginął w niewyjaśnionych okolicznościach (zarchiwizowaną wersję znajdziecie tutaj), za to w jego miejsce pojawił się nowy. Nowy wpis mówił o zaletach nowej aktualizacji, co dzięki niemu zyskują i jak bardzo użytkownicy nic nie tracą. W skrócie – niebezpieczny skrypt dalej jest częścią dodatku Steam Inventory Helper. Decyzja o korzystaniu z niego, bądź nie należy oczywiście do was. Ja osobiście już do niego na pewno nie powrócę.
