يجد العديد من الأشخاص أن خدمات Google مفيدة وسهلة الاستخدام ، ولكن لديهم ميزة مهمة واحدة على الأقل. نحن نتحدث عن المراقبة المستمرة للمستخدمين ، عن التجميع المكثف وإرسال البيانات عن نشاطهم.لا يمكن لجميع المستخدمين تخيل نوع البيانات التي تجمعها الشركة ، وفي أي أحجام. لكن الكثير منها يتعلق بشكل أساسي بسريتها ، والبعض جاهز لإدراك انتهاك أسرار الخصوصية حتى في إرسال سجل بمعلومات فنية بحتة. ومع ذلك ، في بعض الأحيان يسلك المستخدمون المتقدمون حقًا طريق محاربة Google.في 25 مايو 2018 ، دخلت اللائحة العامة لحماية البيانات الخاصة باللائحة العامة لحماية البيانات حيز التنفيذ ، وهو قانون اعتمده البرلمان الأوروبي يشدد ويوحد قواعد حماية بيانات المستخدم. اتخذ الاتحاد الأوروبي هذا القرار بسبب العدد المتزايد من التسريبات الكبيرة للبيانات الشخصية التي تم جمعها من قبل عمالقة تكنولوجيا المعلومات مثل Google و Facebook. ومع ذلك ، في الواقع ، لم يؤثر هذا القانون على مواطني الاتحاد الأوروبي فحسب ، بل أيضًا على بقية العالم.ومع ذلك ، تحاول العديد من خدمات الإنترنت ، التي تعمل في بلدان مختلفة ، تلبية متطلبات الخصوصية الأكثر صرامة. لذا ، أصبحت اللائحة العامة لحماية البيانات المعيار العالمي الواقعي.حتى جوجل هناك
في يوم الثلاثاء الموافق 4 فبراير 2020 ، أثار أرنو جرانال ، مطور متصفح كيوي المستند إلى Chromium ، مسألة نقل ما يسمى "المعرف الفريد" الذي ينشئه Google Chrome أثناء التثبيت. اقترح جرانال أنه يمكن لـ Google نفسها استخدامه على الأقل.هو و بعض المستخدمين الآخرين توحي بأن هذا هو مستتر أنها يمكن أن تستخدم لأغراض خاصة بها. وفي هذه الحالة ، يمكننا التحدث عن انتهاك قانون اللائحة العامة لحماية البيانات ، حيث يمكن اعتبار هذا المعرف الفريد بمثابة بيانات تسمح لك بتحديد هوية المستخدم بشكل فريد.جوجل لم يعلق على المشكلة. و ثائق رسمية ورسائل أخرى للشركة لا تسمح لتوضيح كامل للحالة.كيف تعمل
عندما يطلب المستعرض صفحة ويب من الخادم ، فإنه يرسل طلب HTTP الذي يحتوي على مجموعة من الرؤوس ، وهي أزواج القيمة الرئيسية مفصولة بعلامات النقطتين. تحدد هذه الرؤوس أيضًا التنسيق الذي يجب إرسال البيانات إليه. على سبيل المثال،accept: text / html
في وقت سابق (على الأقل منذ عام 2012) ، أرسل Chrome رأسًا يسمى "X-client-data" ، والمعروف أيضًا باسم "X-chrome-variations" ، لاختبار الميزات قيد التطوير. ستقوم Google بتنشيط بعض هذه الميزات عند تثبيت المتصفح. يتم عرض المعلومات المتعلقة بهم عند كتابة chrome: // version في شريط عنوان Chrome.Variations: 202c099d-377be55a
في السطر 32 من ملف مصدر Chromium ، يرسل رأس بيانات X-client-data معلومات Google Field Trials لمستخدم Chrome الحالي."لن يحتوي رأس Chrome-Variations (X-client-data) على أي معلومات تعريف شخصية وسيصف فقط خيارات التثبيت لمتصفح Chrome نفسه ، بما في ذلك الاختلافات النشطة ، بالإضافة إلى بيانات التجارب من جانب الخادم التي قد تؤثر على التثبيت." ، يقول دليل ميزات Google Chrome .ومع ذلك ، هذا ليس صحيحا تماما.لكل تثبيت ، يقوم Google Chrome بشكل عشوائي بإنشاء رقم من 0 إلى 7999 (حتى 13 بت). يتوافق هذا الرقم مع مجموعة من الوظائف التجريبية التي يتم تنشيطها عشوائيًا.كلما زاد عدد البتات الفارغة ، زادت صعوبة إنشاء بصمة متصفح بدرجة عالية من التفرد ، والعكس صحيح. ولكن إذا قمت بدمج هذه البيانات مع إحصائيات الاستخدام وتقارير الأعطال ، والتي يتم تمكينها افتراضيًا ، فعند معظم مستخدمي Chrome ، لا يزال بإمكانك الحصول على بصمات الأصابع بدقة عالية إلى حد ما.يوضح Granal أن بصمة الإصبع "يتم تحديدها من خلال عنوان IP ونظام التشغيل وإصدار Chrome والمعلمات الأخرى ، بالإضافة إلى معلمات التثبيت".إذا قمت ، على سبيل المثال ، بزيارة YouTube ، فسيشتمل العنوان على سطر من النموذج:X-client-data: CIS2yQEIprbJAZjBtskBCKmdygEI8J/KAQjLrsoBCL2wygEI97TKAQiVtcoBCO21ygEYq6TKARjWscoB
يمكنك التحقق من ذلك بنفسك إذا فتحت وحدة تحكم المطور في Google Chrome ، ثم علامة التبويب "الشبكة" ثم انتقل إلى youtube.com ، أو doubleclick.net على سبيل المثال.وفقًا لـ Granal ، يمكن فقط لموقع youtube.com و google.com و doubleclick.net و googleadservices.com وبعض خدمات Google الأخرى الوصول إلى هذه المعرّفات . ولكن فقط إذا لم يكن المتصفح في وضع التصفح المتخفي.أفضل دفاع
إذا كان لدى Google فقط حق الوصول إلى بيانات X-client-، فقد يشير هذا إلى أن الشركة تحمي بيانات المستخدم من الجميع باستثناء نفسها.يعتقد Lukas Oleinik ، وهو باحث ومستشار مستقل حول حماية البيانات الشخصية ، أنه يمكن استخدام هذه الوظيفة لأغراض شخصية ، على الرغم من أنه من الممكن تمامًا أن تم إنشاؤها لتتبع المشاكل الفنية."أعتقد أن معظم المستخدمين ليس لديهم فكرة عن هذا المعرف وما يفعله ومتى يتم استخدامه. وربما تكون المشكلة هي أن المعرف يظل ثابتًا ولا تتم إعادة تعيينه عندما يمسح المستخدم بيانات المتصفح. بهذا المعنى ، يمكن اعتباره بصمة. [حتى الآن] الخطر الرئيسي هو إرسال البيانات إلى المواقع التي تديرها مؤسسة واحدة فقط ".
يشير جرانال إلى أن آلية نقل البيانات هذه يمكن اعتبارها نقطة ضعف. ينفذ رمز مصدر Chromium فقط التحقق من قائمة محددة مسبقًا من نطاقات Google ، ولكنه لا يتحقق من النطاقات الأخرى. لذلك ، يمكن للمهاجم شراء نطاق ، على سبيل المثال ، youtube.vg ، ونشر موقع ويب عليه لجمع رؤوس بيانات X-client-data.ميزات غير موثقة
في أغسطس 2017 ، اكتشف خبراء Kaspersky Lab باب خلفي في NetSarang ، وهو برنامج شائع لإدارة خوادم الشركات. تم العثور على باب ShadowPad الخلفي من خلال تحليل استعلامات DNS المشبوهة في شبكة الشركة لإحدى أكبر الشركات التي قامت بتثبيت البرنامج. من خلال الباب الخلفي ، تمكن المهاجمون من الوصول إلى البيانات السرية للمنظمات التي تستخدم NetSarang.قالت شركة التطوير إنها لا تعرف شيئًا عن هذا ، وقد أدخل مهاجمون مجهولون الشفرة الخبيثة في منتجهم. ومع ذلك ، بعد العثور على الباب الخلفي ، قام خبراء NetSarang بإزالة الثغرات بسرعة.هل تغفل الشركات في كثير من الأحيان عن هذه الفرص غير الموثقة؟