En fersk oppdatering for den populære Google Chrome-utvidelsen Steam Inventory Helper la til en overvåkningskomponent i utvidelsen som overvåker nettleseraktiviteten.
Steam Inventory Helper er en populær Chrome-utvidelse for spillplattformen Steam som forbedrer lagerstyring, handel, kjøp og salg. Det er spesielt populært blant CounterStrike Global Offensive-spillere, men fungerer med andre Steam-spill som også har støtte for virtuelle elementer.
Reddit-bruker Wartab var den første som rapporterte overvåkningen. Et innlegg på det offisielle CounterStrike Global Offensive forumet på Reddit belyser hva Steam Inventory Helper gjør i bakgrunnen.
I utgangspunktet, hva Steam Inventory Helper gjør, er å utføre kode på hvilken som helst sidebelastning, selv på interne sider som om: blank.
Koden som oppdateringen introduserte, overvåker følgende:
- Henviseren (nettstedet du kom fra).
- Den gang siden ble lastet og forlatt.
- Når musen beveges.
- Inngangsfokus.
- Tastetrykk (men ikke hva som er skrevet).
Den sender en hvilken som helst lenke du klikker på mens utvidelsen er aktiv til et bakgrunnsskript. Dette skriptet overvåker HTTP-forespørsler som er laget, og sender et sammendrag av disse forespørslene til en server.
Hovedpoenget er: de overvåker hvilke nettsteder du besøker, og sender kanskje mye av din online aktivitet til sin egen server. Jeg kunne ikke finne ut når de gjør det ennå, men det ser ut til å være for salgsfremmende ting. Enda viktigere er at i fremtiden, selv om det de gjør nå er legitim, vil du ikke bli informert om endringer i tillatelsene deres, fordi det i utgangspunktet allerede har all tillatelse det kan få i den forbindelse.
Nettleserutvidelsen for Chrome ba om nye tillatelser under oppdateringen, og det er slik endringen ble oppdaget.
Steam Inventory Helper ber om å "lese og endre alle dataene dine på nettstedene du besøker". Det er tydelig at dette ikke er nødvendig for den helt spesifikke oppgaven med å administrere Steam-inventar.
Gode nyheter er at brukere må godta den nye tillatelsen før utvidelsen er aktivert etter oppdateringen. Hvis de ikke gjør det, er utvidelsen deaktivert og overvåker ikke surfeaktiviteten.
Den høyt rangerte utvidelsen fikk en god andel av en stjerners rangering allerede av brukere som la merke til at den ba om nye tillatelser som brukes til å overvåke brukere.
Hvis du bruker utvidelsen, anbefales det at du avinstallerer det med en gang, da du kanskje ikke vil at hele nettleserloggen din skal overføres til en tredjepartsserver.
Lukkende ord
Dette er ikke første gang Googles automatiske skript lar skadelig programvare eller adware glippe forbi, og en av grunnene til at jeg foretrekker Mozillas system som hevder enhver utvidelsesoppdatering eller ny utvidelse før det blir publisert.
Tips : Bekreft Chrome-utvidelser før du laster ned dem.
