Topic: Estensione WOT: spyware

[Iceberg]

Una completa analisi dell'estensione WOT, definita raccapricciante.

https://www.kuketz-blog.de/wot-addon-wie-ein-browser-addon-seine-nutzer-ausspaeht/
E' in tedesco.

Raccoglie, condivide e vende tutto il possibile.

Codice: [Seleziona]

Your Internet Protocol Address;
Your geographic location (e.g., France, Canada, etc.);
The type of device, operating system and browsers you use;
Date and time stamp;
Browsing usage, including visited web pages, clickstream data or web address accessed;
Browser identifier and user ID;
Conclusione.

Codice: [Seleziona]

Damit wäre hoffentlich ein weiteres Märchen widerlegt: Selbst wenn ein Unternehmen in seiner Datenschutzerklärung behauptet, sie würden keine personenbezogenen Daten sammeln oder diese vor der Speicherung »anonymisieren«, so sieht die Realität oftmals wohl ganz anders aus.

Che vuol dire.

Così si è sfatata un'altra favola. Nella politica sulla privacy potrà essere riportato che non vengono raccolti dati personali o che tali dati sono conservati in forma anonima ma la realtà è spesso diversa.

[miki64]

L'estensione è ancora al suo posto, qui: https://addons.mozilla.org/it/firefox/addon/wot-safe-browsing-tool/

Mi ha incuriosito molto l'attacco odierno degli utenti tedeschi in massa contro l'estensione, evidentemente ci tengono a condividere questa informazione se effettivamente dovesse risultare vera. Andando a ritroso nel tempo, già il 18 settembre un utente denuncia il falso senso di sicurezza dell'estensione, mentre il 25 marzo un utente italiano riporta:

Bel progetto ma l'affidabilità è da prendere con le pinze Assegnate 3 su 5 stelle

Di base sarebbe un progetto molto utile. All'atto pratico i meccanismi attraverso quale vengono valutati i siti non sono molto credibili secondo me. Perchè alcuni siti hanno quasi tutti i commenti e le voti dei visitatori negativi.. e ciò nonostante escono ancora con il pallino verde.

Le valutazioni che vengono date andrebbero verificate maggiormente.. chiunque può aprire un sito di malware e poi creare mille account con i quali auto-votarsi il proprio sito affermando che sia sicuro. E' ovvio che lo facciano. Proprio per questo chi è un utente vero deve votare ROSSO pieno senza nessuna pietà.

Invito gli utenti quando votano a votare in modo più netto e pesante. Se un sito installa anche solo un programma indesiderato, deve essere marchiato con rosso pieno. Altrimenti si continuano ad avere siti che sono malevoli ma rimangono verdi.

I casi in cui si può votare a metà, in realtà, sono piuttosto rari se ci si pensa. Un sito o è affidabile.. o non lo è. O verde.. o rosso. Non concepisco la gente che vota giallo un sito che installa malware. Perchè altrimenti così facendo l'addon non serve a nulla. Perchè uno vuole sapere a colpo d'occhio se vale la pena aprire un determinato sito oppure no. E' netta la cosa. Voi aprireste qualche volta un sito contenente malwares? Io neanche una volta.
Quindi rosso pieno!
Bisogna essere meno indulgenti nella valutazione.

Ma pare che ci sia anche un comportamento omissivo di Mozilla, secondo questo post in inglesedel 29 novembre 2015, oltre un anno fa!

L'add-on invia l'URL di ogni sito web visitato ai server WOT. Per le ragioni spiegate nella mia recensione precedente (che è stato cancellato dalla redazione di Mozilla senza consultarmi) diversi utenti hanno segnalato le informazioni URL visitato in uso preoccupante.

Nota di redazione Mozilla: non sto segnalare un bug, né sono uno spammer. Gli utenti devono essere consapevoli che la loro navigazione web non può rimanere privato quando si utilizza WOT.

Ora, sicuramente questa notizia farà clamore nel mondo dell'open source, aspettiamone gli sviluppi.

[pegasoc]

Scusate, ma alla fine è affidabile? No? Non si sa?

[miki64]

Personalmente, in queste tematiche, aspetto prima di tutto il post di commento di Deckard, che su queste cose è molto bravo e si documenta sempre prima di inviare un suo giudizio (a volte è prolisso, a volte è criptico ma comunque è davvero completo nell'esporre il suo punto di vista).
Per fortuna c'è Deckard! 

[Iceberg]

L'attacco in massa degli utenti tedeschi dipende dal fatto che il risultato dell'analisi è stato mostrato in televisione e riportato da molti giornali (in Germania). Non è stata una notizia di nicchia.

http://www.ndr.de/nachrichten/netzwelt/Nackt-im-Netz-Millionen-Nutzer-ausgespaeht,nacktimnetz100.html

Sì il codice è open source e chi lo ha analizzato sottolinea gli sforzi fatti dagli sviluppatori per nascondere cosa effettivamente fa quel codice.
Mozilla dovrebbe mettere in quarantena l'estensione e fare una sua analisi.

[deckard]

So che la discussione è datata ma era l'unica ad avere un titolo inerente la segnalazione che volevo inserire.

Interessante articolo in inglese  Your browsing history may have been sold already

Nell'articolo riportato da Selky si parla proprio di WOT.
Il problema è sempre il solito, cioè se non si paga per un prodotto, che sia un bene o un servizio, che ha dei costi a livello di infrastruttura e di altre cose l'utenza finisce con l'essere il prodotto.
Io ho il forte dubbio che WOT sia "Defective BY Design", Difettoso già a partire dal progetto, per modalità di funzionamento, per come è stato concepito...
Ma già in tempi non sospetti questo componente aggiuntivo aveva lasciato in me dei seri dubbi. Boh, non mi ha mai veramente convinto.

Scusate, ma alla fine è affidabile? No? Non si sa?

Direi che è affidabile come prendere uno scolapasta e cercare di adoperarlo come se fosse un secchio...
L'intenzione forse era buona come pure le finalità che si erano prefissati.

Di fatto, non esiste pazzia senza giustificazione e ogni gesto che dalla gente comune e sobria viene considerato pazzo coinvolge il mistero di una inaudita sofferenza che non è stata colta dagli uomini. (Alda Merini, da L'altra verità. Diario di una diversa, Rizzoli)

La gente quando non capisce inventa e questo è molto pericoloso.
Alda Merini, La nera novella: umorismo nero, Rizzoli, 2007, p. 83.

Alda Merini, Wikiquote

[deckard]

Componenti aggiuntivi come Web of Trust possono essere enormemente pericolosi e questo è quello che io deduco leggendo la recensione dell'utente italiano.
I motivi sono diversi.

Basta un semplice colpo d'occhio per capire se un sito è buono? Ovviamente no, ma i fattori sono tanti...
Si ipotizzi che io creo un sito sulle mele della Val Venosta, cioè un contenuto perfettamente legittimo, e cerco di rendere la pubblicità accettabile (affinché si lotti contro l'invasività dell'advertising e non contro la sopravvivenza dei siti), ma dei criminali informatici violano il sito del fornitore della pubblicità presente sul sito inserendo del malvertising...
Il sito da me ipoteticamente sviluppato continuerebbe a essere affidabile, tanto da far abbassare la guardia agli internauti?
Con quali conseguenze?
Il falso senso di sicurezza è pericoloso almeno quanto un sito chiaramente VM21 o "Not Suitable/Safe For Work".

La cosa più grave, secondo me, è che tale componente aggiuntivo toglie nell'utenza la spinta a cercare di capire che sito ha di fronte a sè, che cosa possa fare, quali misure di sicurezza adottare, e via discorrendo, non tanto per amor di legge o di moralità, ma per pura e semplice prudenza. Il primo giudice del campo (minato) su cui ci si sta muovendo è la consapevolezza che ognuno dovrebbe avere.

Post scriptum: grazie @Miki64 della stima.

[Selky]

Personalmente, in queste tematiche, aspetto prima di tutto il post di commento di Deckard, che su queste cose è molto bravo e si documenta sempre prima di inviare un suo giudizio (a volte è prolisso, a volte è criptico ma comunque è davvero completo nell'esporre il suo punto di vista).
Per fortuna c'è Deckard! 

Verissimo!

@deckard
Errore mio, ho girato mezz'ora prima di decidere come e dove inserire l'articolo. 

[pegasoc]

Grazie a tutti per i chiarimenti.

[Iceberg]

Difettoso già a partire dal progetto è la faccia visibile della Luna, non era in discussione questo. La denuncia, con tanto di dimostrazione, è quella di raccogliere e conservare tutti i dati possibili degli utenti di questa estensione. Conservati in forma non anonima. La terza faccia della Luna è la vendita a terzi di questa enorme quantità di dati raccolti.

Se non si paga per un prodotto, l'utenza finisce con l'essere il prodotto.
Se si paga per un prodotto, l'utenza è il prodotto.

Si sta come d'autunno sugli alberi le foglie.

[deckard]

The Dark Side of The Moon - Pink Floyd - Money
Pitura Freska - (Oi ndemo veder i) Pin Floi

raccogliere e conservare tutti i dati possibili degli utenti di questa estensione. Conservati in forma non anonima.

Quando le cose nascono male è difficile rimediare, è più facile che le cose, lasciate a se stesse, tendano ad andare di male in peggio. Quinto corollario alla Legge di Murphy.

la vendita a terzi di questa enorme quantità di dati raccolti.

Settimo corollario alla Legge di Murphy. Ogni soluzione genera nuovi problemi.
I problemi dovevano essere già chiari nel momento in cui ci si è dimenticati di chiudere il recinto, cosa di cui ci si sarebbe dovuti rendere conto.
Ora i buoi sono fuggiti e dopo vari passaggi sono stati trasformati in fiorentine, serviti al ristorante, degustatati al sangue con un piatto di fave e buon chianti, et cetera...
Ha senso pensare ai poveri animali ora?
Tutte le informazioni hanno un valore. Tutte.
Guardatevi questo documentario LaEffeTv: Zero Privacy su YouTube.

[Iceberg]

Il bug:
https://bugzilla.mozilla.org/show_bug.cgi?id=1314332

Nessuna risposta da parte degli sviluppatori, aspettano il parere degli avvocati. D'altra parte si sta parlando di chiudere una società da un giorno all'altro. Il mio parere legale è che oramai il dentifricio dentro il tubetto non lo metti più.

[deckard]

Commento di Rob Wu [:robwu] al bug 1314332 (il commento n.3 per la cronaca) :

WOT is able to remotely executing arbitrary commands on any page (including privileged parts of Firefox) if they wanted to.
For the full analysis, see Analysis of WOT 20151208 · GitHub

Si noti la risposta al commento successivo da parte di Jorge Villalobos [:jorgev]:

It's worth pointing out that remote code execution is not a rare occurrence in add-ons, though we generally don't allow it (sometimes it's overlooked by reviewers).

C'è anche una versione tradotta in inglese da Google Translate della pagina del Kuketz Blog.

Si noti e si presti MOLTA attenzione al seguente passaggio:

Conjecture: Personally, I believe that we have uncovered only the tip of an iceberg and much secretly create surfing profiles of users more addons or spy on him otherwise.

Domanda:

Ultimately, we must ask ourselves over and over again the question: Who or what we actually trust?

Domanda perfettamente lecita e legittima, le domande non sono mai inopportune e domandare è sempre lecito.
Risposta: Vi ricordate il poster che campeggiava nell'ufficio di Fox William Mulder, vero?

[Iceberg]

Si ipotizza che questa sia solo la "mia" punta!

Fiducia solo nella mamma!

Altra possibilità. Attendere che passi una settimana. Si calmano le acque. Si rimuovono le pagine di commenti negativi. Successo niente.

Però in Germania sta facendo concorrenza al Festival SanReno, nuova trasmissione televisiva e decine di nuovi articoli.

Mozilla attende.

Qui si parla della versione per Firefox ma la questione riguarda tutti i browser.

[Iceberg]

Mozilla attende ma non troppo, rimossa l'estensione da Mozilla Addons:

https://addons.mozilla.org/it/firefox/addon/wot-safe-browsing-tool/

Da questo commento al bug pare che c'era una quarta faccia della Luna.

Indeed, add-ons such as userscript managers have a legitimate need for code execution. But WOT does not need this ability, and definitely not the ability to run remote code anywhere, including about: pages (such as about:preferences). That power enables WOT to seize control of a computer if they wanted to, so the add-on (versions 20090918 until 20151208) should be blacklisted. Once they upload a new version without this "feature", we can reconsider listing the add-on.

Se volevano potevano prendere possesso di un computer. Esagerato?