Muitas pessoas acham os serviços do Google úteis e fáceis de usar, mas possuem pelo menos um recurso importante. Estamos falando sobre o monitoramento constante dos usuários, sobre a coleta intensiva e o envio de dados sobre suas atividades.Nem todos os usuários podem imaginar que tipo de dados a empresa coleta e em quais volumes. Mas muitos se relacionam fundamentalmente à sua confidencialidade, e alguns estão prontos para perceber uma violação dos segredos de privacidade, mesmo enviando um log com informações puramente técnicas. No entanto, às vezes usuários verdadeiramente avançados seguem o caminho de combater o Google.Em 25 de maio de 2018, o Regulamento Geral de Proteção de Dados do GDPR entrou em vigor , uma lei adotada pelo Parlamento Europeu que restringe e unifica as regras de proteção de dados do usuário. A UE tomou essa decisão devido ao crescente número de grandes vazamentos de dados pessoais coletados por gigantes de TI como Google e Facebook. No entanto, essa lei afetou não apenas os cidadãos da UE, mas também o resto do mundo.Muitos serviços de Internet, trabalhando em diferentes países, no entanto, tentam atender aos mais rigorosos requisitos de privacidade. Portanto, o GDPR se tornou o padrão mundial de fato.Então google ai
Na terça-feira, 4 de fevereiro de 2020, Arno Granal, desenvolvedor do navegador Kiwi baseado no Chromium, levantou a questão de passar o chamado "identificador exclusivo" que o Google Chrome gera durante a instalação. Granal sugeriu que pelo menos o próprio Google poderia usá-lo.Ele e alguns outros usuários sugerem que esse é um backdoor que ela pode usar para seus próprios propósitos. E, neste caso, podemos falar sobre uma violação da lei GDPR, já que esse identificador exclusivo pode ser considerado como dados que permitem que você estabeleça exclusivamente a identidade do usuário.O Google não comentou sobre o problema. E documentos oficiais e outras mensagens da empresa não permitem esclarecer completamente a situação.Como funciona
Quando o navegador solicita uma página da Web do servidor, ele envia uma solicitação HTTP que contém um conjunto de cabeçalhos, que são pares de valores-chave separados por dois pontos. Esses cabeçalhos também determinam em qual formato os dados devem ser enviados. Por exemplo,accept: text / html
Antes (pelo menos desde 2012), o Chrome enviou um cabeçalho chamado "X-client-data", também conhecido como "X-chrome-Variations", para testar os recursos em desenvolvimento. O Google ativará alguns desses recursos ao instalar o navegador. As informações sobre eles são exibidas quando você digita chrome: // version na barra de endereços do Chrome.Variations: 202c099d-377be55a
Na linha 32 do arquivo de origem do Chromium, o cabeçalho X-client-data envia informações do Google Field Trials para o usuário atual do Chrome.“O cabeçalho Chrome-Variations (X-client-data) não conterá nenhuma informação de identificação pessoal e apenas descreverá as opções de instalação do próprio Chrome, incluindo variações ativas, bem como dados experimentais do servidor que podem afetar a instalação.” , Diz o Guia de recursos do Google Chrome .No entanto, isso não é bem verdade.Para cada instalação, o Google Chrome gera aleatoriamente um número de 0 a 7999 (até 13 bits). Este número corresponde a um conjunto de funções experimentais ativadas aleatoriamente.Quanto mais bits vazios, mais difícil é criar uma impressão digital do navegador com um alto grau de exclusividade e vice-versa. Mas se você combinar esses dados com estatísticas de uso e relatórios de falhas, que são ativados por padrão, para a maioria dos usuários do Chrome, ainda é possível obter impressões digitais com uma precisão bastante alta.A impressão digital "é determinada pelo seu endereço IP, sistema operacional, versão do Chrome e outros parâmetros, além dos parâmetros de instalação", explica Granal.Se você, por exemplo, visitar o YouTube, um cabeçalho incluirá uma linha do formulário:X-client-data: CIS2yQEIprbJAZjBtskBCKmdygEI8J/KAQjLrsoBCL2wygEI97TKAQiVtcoBCO21ygEYq6TKARjWscoB
Você pode verificar por conta própria se abrir o console do desenvolvedor no Google Chrome, a guia Rede e acessar o youtube.com ou doubleclick.net, por exemplo.Segundo Granal, apenas youtube.com , google.com , doubleclick.net , googleadservices.com e alguns outros serviços do Google têm acesso a esses identificadores . Mas apenas se o navegador não estiver no modo de navegação anônima.Melhor defesa
Se apenas o Google tiver acesso aos dados do cliente X, isso pode indicar que a empresa protege os dados do usuário de todos, exceto de si mesmo.Lukash Oleinik, pesquisador independente e consultor em proteção de dados pessoais, acredita que essa função pode ser usada para fins pessoais, embora seja bem possível que ela tenha sido criada para rastrear problemas técnicos.“Acredito que a maioria dos usuários não tem idéia sobre esse identificador, o que faz e quando é usado. E talvez o problema seja que o identificador permaneça constante e não seja redefinido quando o usuário limpa os dados do navegador. Nesse sentido, pode ser considerado uma impressão. [Até agora] o principal risco é que os dados sejam enviados para sites gerenciados por apenas uma organização ".
Granal observa que esse mecanismo de transferência de dados pode ser considerado uma vulnerabilidade. O código-fonte do Chromium implementa apenas a verificação de uma lista predefinida de domínios do Google, mas não verifica outros domínios. Portanto, um invasor pode comprar um domínio, por exemplo, youtube.vg, e implantar um site nele para coletar cabeçalhos de dados do cliente X.Recursos não documentados
Em agosto de 2017, os especialistas da Kaspersky Lab descobriram um backdoor no NetSarang, um software popular para gerenciar servidores corporativos. O backdoor do ShadowPad foi encontrado através da análise de consultas DNS suspeitas na rede corporativa de uma das maiores empresas que instalaram software. Por meio da backdoor, os invasores obtiveram acesso aos dados confidenciais das organizações que usam o NetSarang.A empresa de desenvolvimento disse que não sabia nada sobre isso, e o código malicioso foi introduzido no produto por invasores desconhecidos. No entanto, depois que o backdoor foi encontrado, os especialistas do NetSarang eliminaram rapidamente a vulnerabilidade, suspeitosamente.As empresas costumam fechar os olhos para essas oportunidades não documentadas?