Muchas personas consideran que los servicios de Google son útiles y fáciles de usar, pero tienen al menos una característica importante. Estamos hablando del monitoreo constante de los usuarios, de la recolección intensiva y el envío de datos sobre su actividad.No todos los usuarios pueden imaginar qué tipo de datos recopila la empresa y en qué volúmenes. Pero muchos se relacionan fundamentalmente con su confidencialidad, y algunos están listos para percibir una violación de los secretos de privacidad incluso al enviar un registro con información puramente técnica. Sin embargo, a veces los usuarios verdaderamente avanzados toman el camino de luchar contra Google.El 25 de mayo de 2018, entró en vigencia el Reglamento General de Protección de Datos de GDPR , una ley adoptada por el Parlamento Europeo que endureció y unificó las reglas de protección de datos de los usuarios. La UE ha tomado esta decisión debido al creciente número de grandes filtraciones de datos personales recopilados por gigantes de TI como Google y Facebook. Sin embargo, de hecho, esta ley ha afectado no solo a los ciudadanos de la UE, sino también al resto del mundo.Sin embargo, muchos servicios de Internet que trabajan en diferentes países intentan cumplir con los requisitos de privacidad más estrictos. Entonces, el GDPR se ha convertido en el estándar mundial de facto.Entonces google allí
El martes 4 de febrero de 2020, Arno Granal, el desarrollador del navegador Kiwi basado en Chromium, planteó la cuestión de transmitir el llamado "identificador único" que genera Google Chrome durante la instalación. Granal sugirió que al menos Google mismo podría usarlo.Él y algunos otros usuarios sugieren que esta es una puerta trasera que ella puede usar para sus propios fines. Y en este caso, podemos hablar sobre la violación de la ley GDPR, ya que este identificador único puede considerarse como datos que le permiten establecer de manera única la identidad del usuario.Google no ha comentado sobre el tema. Y los documentos oficiales y otros mensajes de la compañía no permiten aclarar completamente la situación.Cómo funciona
Cuando el navegador solicita una página web del servidor, envía una solicitud HTTP que contiene un conjunto de encabezados, que son pares clave-valor separados por dos puntos. Estos encabezados también determinan en qué formato se deben enviar los datos. Por ejemplo,accept: text / html
Anteriormente (al menos desde 2012), Chrome envió un encabezado llamado "X-client-data", también conocido como "X-chrome-variaciones", para probar las características en desarrollo. Google activará algunas de estas funciones al instalar el navegador. La información sobre ellos se muestra cuando escribe chrome: // versión en la barra de direcciones de Chrome.Variations: 202c099d-377be55a
En la línea 32 del archivo fuente de Chromium, el encabezado X-client-data envía información de Google Field Trials para el usuario actual de Chrome."El encabezado Chrome-Variations (X-client-data) no contendrá ninguna información de identificación personal y solo describirá las opciones de instalación para Chrome, incluidas las variaciones activas, así como los datos del experimento del lado del servidor que podrían afectar la instalación". , Dice la Guía de funciones de Google Chrome .Sin embargo, esto no es del todo cierto.Para cada instalación, Google Chrome genera aleatoriamente un número de 0 a 7999 (hasta 13 bits). Este número corresponde a un conjunto de funciones experimentales activadas aleatoriamente.Cuantos más bits vacíos, más difícil es crear una huella digital del navegador con un alto grado de unicidad, y viceversa. Pero si combina estos datos con estadísticas de uso e informes de fallas, que están habilitados de manera predeterminada, entonces para la mayoría de los usuarios de Chrome aún puede obtener huellas digitales con una precisión bastante alta.La huella digital "está determinada por su dirección IP, sistema operativo, versión de Chrome y otros parámetros, así como sus parámetros de instalación", explica Granal.Si, por ejemplo, visita YouTube, un encabezado incluirá una línea del formulario:X-client-data: CIS2yQEIprbJAZjBtskBCKmdygEI8J/KAQjLrsoBCL2wygEI97TKAQiVtcoBCO21ygEYq6TKARjWscoB
Puede verificarlo usted mismo si abre la consola del desarrollador en Google Chrome, luego la pestaña Red y luego va a youtube.com o doubleclick.net, por ejemplo.Según Granal, solo youtube.com , google.com , doubleclick.net , googleadservices.com y algunos otros servicios de Google tienen acceso a dichos identificadores . Pero solo si el navegador no está en modo incógnito.Mejor defensa
Si solo Google tiene acceso a los datos del cliente X, esto puede indicar que la empresa protege los datos de los usuarios de todos excepto de sí mismo.Lukas Oleinik, un investigador y consultor independiente sobre la protección de datos personales, cree que esta función puede usarse para beneficio personal, aunque es muy posible que se haya creado para rastrear problemas técnicos.“Creo que la mayoría de los usuarios no tienen idea acerca de este identificador, qué hace y cuándo se usa. Y quizás el problema es que el identificador permanece constante y no se restablece cuando el usuario borra los datos del navegador. En este sentido, puede considerarse una impronta. [Hasta ahora] el riesgo principal es que los datos se envían a sitios administrados por una sola organización ".
Granal señala que dicho mecanismo de transferencia de datos puede considerarse una vulnerabilidad. El código fuente de Chromium solo implementa la verificación de una lista predefinida de dominios de Google, pero no verifica otros dominios. Por lo tanto, un atacante puede comprar un dominio, por ejemplo, youtube.vg, y desplegar un sitio web en él para recopilar encabezados de datos del cliente X.Características no documentadas
En agosto de 2017, los expertos de Kaspersky Lab descubrieron una puerta trasera en NetSarang, un software popular para administrar servidores corporativos. La puerta trasera ShadowPad se encontró analizando consultas DNS sospechosas en la red corporativa de una de las compañías más grandes que instalaron software. A través de la puerta trasera, los atacantes obtuvieron acceso a los datos confidenciales de las organizaciones que usan NetSarang.La compañía de desarrollo dijo que no sabía nada sobre esto, y el código malicioso fue introducido en su producto por atacantes desconocidos. Sin embargo, después de encontrar la puerta trasera, los expertos de NetSarang eliminaron sospechosamente la vulnerabilidad rápidamente.¿Las compañías a menudo hacen la vista gorda ante tales oportunidades indocumentadas?