Перевод статьи Forbes «Latest Google Chrome Privacy Warning Gives You Another Reason To Switch»
Новое предупреждение для пользователей Google Chrome: обнаружено, что браузер собирает конфиденциальные данные с телефона, а пользователи этого не знают. Это не единичный пример с Chrome, и в настоящее время браузер все больше проявляет себя с точки зрения конфиденциальности, что должно дать вам вескую причину переключить Chrome на альтернативу на вашем телефоне.
Chrome уже подвергся критике за задержку удаления сторонних файлов cookie для отслеживания, за слабые места в его частном просмотре, за данные, которые его приложение собирает с телефонов, и за фиаско FLoC. Новое предупреждение является последним в этом длинном списке.
В прошлом месяце приложение Facebook отслеживало движения пользователей iPhone, постоянно активируя акселерометр устройства. Facebook — самый жадный сборщик данных в мире, и эту конфиденциальную информацию можно использовать для отслеживания поведения, соотнося с огромным объемом данных, которые он собирает.
Но Facebook не самый успешный сборщик данных в мире — этот приз достается Google. В отличие от Facebook, который сильно пострадал от последних мер Apple по обеспечению конфиденциальности, доходы Google от цифровой рекламы продолжают расти. Реальность такова, что в то время как Facebook/Meta действует как громоотвод, Google представляет собой гораздо большую угрозу вашей конфиденциальности.
В то время как Facebook собирал эту информацию для себя, Chrome с радостью собирает ее для других — по сути, обеспечивая бесплатный доступ для всех, когда речь идет о чрезвычайно конфиденциальной информации: о каждом вашем действии, любом вашем поведении.
Исследователь Томми Мыск предупреждает, что «датчик движения доступен для всех веб-сайтов в Android/Chrome по умолчанию, [тогда как] Safari/iOS защищает доступ с помощью разрешения». Что еще хуже, так как Chrome делает это, даже в режим приватного просмотра или «инкогнито». Как это может быть нормально?
«То, как Android управляет акселерометром, намного хуже [чем у Facebook], — сказал мне Мыск. — Приложения могут даже читать это в фоновом режиме. Моя команда реализовала в нашем приложении функцию шагомера. Приложение будет считать шаги, даже если оно вообще не запущено. Потому что это был принцип работы фоновой службы, которая работала постоянно».
В ответ на исследование безопасности Google сказал мне, что «мы намеренно ограничиваем разрешение датчиков движения в Chrome, и с 2019 года у нас есть элементы управления, которые позволяют пользователям полностью блокировать веб-сайты от доступа к датчикам движения устройства. Мы серьезно относимся к безопасности пользователей и их конфиденциальности, и мы постоянно работаем над новыми способами повышения безопасности и конфиденциальности в Chrome».
Но это данные, которые Chrome предоставляет для любого запрашивающего сайта — по умолчанию. Apple улучшила свою безопасность и конфиденциальность, заблокировав эти данные и назначив конкретное разрешение с ограничением по времени при каждом запросе. Вот как это делается, Google.
Я уже предупреждал об ужасных рисках для конфиденциальности Chrome. Проще говоря, Chrome Google работает по двум фронтам, когда дело доходит до вашего просмотра. Предоставление инфраструктуры поиска и цифровой рекламы за кулисами, при этом, контролируя интерфейсный браузер, который вы используете. По сути, сбор ваших данных происходит с двух концов.
Когда дело доходит до вашей конфиденциальности, эта проблема усугубляется философией Google. Проще говоря, вы — продукт, который нужно монетизировать, чтобы обеспечить его огромную прибыльность. Ваше поведение можно отслеживать на нескольких платформах и сервисах, а затем эту информацию использовать для управления самой ценной в мире платформой влияния.
Недавний отказ от FLoC, где Google «случайно» допустил тайное отслеживание миллионов пользователей, говорит вам все, что вам нужно знать. Затем идет постоянный обмен смешанными сообщениями при частном просмотре, а также по умолчанию, позволяющая сообщать о неактивности пользователей. Google Chrome — плохие новости с точки зрения конфиденциальности. Период.
«Google заявляет о своем намерении выяснить, как размещать рекламу таким образом, чтобы сохранить конфиденциальность, — сказала мне недавно Mozilla, — но эти планы продолжают откладываться», а их функции «отслеживают людей и позволяют создавать новые варианты использования рекламы».
Apple Webkit, который ограничивает поведение Safari и других браузеров, работающих на iPhone, представил особые разрешения для доступа к акселерометру с Safari 13 в 2019 году. Это произошло после исследования, которое раскрыло аналогичное использование такого доступа без разрешений мобильными веб-сайтами, который все еще разрешен в Chrome на Android.
Эти исследователи обнаружили, что мобильные веб-сайты подключаются к датчикам устройств «для целей, отличных от тех, которые планировал орган по стандартизации W3C. Мы обнаружили, что подавляющее большинство сторонних скриптов получают доступ к данным датчиков для измерения взаимодействий с рекламой, проверки показов рекламы и устройств слежения. Наш анализ выявил несколько сценариев, которые отправляют необработанные данные датчиков на удаленные серверы».
Это исследование, как сказал мне Мыск, «подтолкнуло Apple к защите Safari на iOS… Я не уверен, почему Google не применил аналогичные меры». Учитывая, что в исследовании основное внимание уделялось показу рекламы и ее измерениям, мы можем рискнуть предположить, почему.
Хотя Apple по умолчанию отключает доступ к датчику движения, Google не только разрешает этот доступ, но, несмотря на предыдущие предупреждения, также сообщает пользователям, что этот параметр «рекомендуется» оставить включенным. Разница между Apple и Google не может быть более разительной. Ирония в том, что безопаснее использовать Chrome на iPhone, чем на Android, потому что Apple блокирует этот тип сбора данных для всех браузеров.
Как один разработчик в обсуждении этого параметра в Chromium спрашивает: «Почему разрешение датчика движения должно звучать как «разрешить/спросить», а не «запрос/блок»? Разве Chrome может разрешить по умолчанию? Не многим сайтам за пределами Карт требуются API-интерфейсы датчиков движения. Я отключил его, и всегда удивительно видеть, как на сайте используются датчики движения».
Если бы предоставление данных датчиков движения веб-сайтам было реальным требованием, и настолько популярным, что оправдывало включение по умолчанию, то пользователи iPhone в последние годы были бы наводнены этим запросом на разрешение. Но они этого не сделали. Большинство никогда этого не увидят. Никогда.
Вы можете отключить доступ к датчикам движения вашего телефона в Chrome на Android в настройках сайта, но вы увидите, что Google рекомендует оставить его включенным.
Реальность такова, что в то время как Apple и Facebook были в заголовках новостей, производитель iPhone, возможно, сделал больше для выявления нарушений конфиденциальности Google, чем кто-либо другой. И все это время Android играет в игру медленного наверстывания отставания от нововведений в области конфиденциальности более высокого уровня, которые Apple представляет в своих обновлениях iOS. Но затем мы находим эти скрытые проблемы, которые еще не попали в заголовки газет и которые остаются проблемами.
Google делает акцент на предлагаемых настройках для изменения на «настройки по умолчанию» — для ограничения отслеживания местоположения в вашей учетной записи; для отключения отслеживания времени, которое вы проводите вне своего устройства; для отключения новых функций отслеживания в песочнице конфиденциальности; для отключения межсайтового отслеживания; для отключения третьего -party cookies, чтобы заблокировать обнаружение движения телефона. Но есть тема, позволяющая отслеживать все данные, если самому не найти и не изменить ее. (анг But there’s a theme—everything is switched on out of the box unless you actively find it and change it.) По умолчанию нет ничего личного. И это прискорбно с точки зрения конфиденциальности.
Да, на Android можно найти и отключить датчик движения. Но нельзя полагаться на то, что пользователи будут заранее менять настройки для защиты основных личных данных. Apple и другие теперь добавляют такие меры по умолчанию. На самом деле очень немногие пользователи знают об этих проблемах, и еще меньше пользователей будут следовать многоступенчатым меню для изменения основных настроек системы. Это особенно верно, когда Google отмечает такие настройки как «рекомендуемые».
Теперь мы ожидаем FLoC V2, поскольку песочница конфиденциальности Google продолжает поиск невозможного решения для защиты конфиденциальности пользователей без ущерба для монетизации пользовательских данных. Мой совет — не ждать и выбрать альтернативный браузер. В Apple вы должны использовать Safari, а в Android и других платформах, отличных от Apple, Firefox — гораздо лучший вариант, если вы не хотите выбирать DuckDuckGo или Brave, ориентированные на конфиденциальность.
Apple стала лидером Safari, отказавшись по умолчанию от параметров, ориентированных на конфиденциальность. Его последнее нововведение, Private Relay, разрывает связь между идентификаторами пользователей и веб-сайтами, существенно подрывая ключевую основу веб-трекеров. Google никогда не сможет последовать их примеру, это нанесет серьезный ущерб его бизнес-модели.
Chrome выделяется как единственный крупный браузер, который еще не предпринял действий, чтобы остановить межсайтовое отслеживание. Единственный браузер (проиллюстрированный ярлыками конфиденциальности Apple при использовании на iOS), который собирает огромные объемы данных, и все они связаны с идентификационными данными пользователей. Единственный крупный браузер, который вытеснил FLoC, несмотря на многочисленные предупреждения о конфиденциальности. На Android вы можете удалить Chrome, отключив его как стандартный браузер в своих настройках.
«Эмпирическое правило информационной безопасности, — предупреждает Мыск, — заключается в том, что личная информация должна быть защищена. Доступ к акселерометру должен быть защищен».
Chrome — самый популярный в мире браузер, контролируемый крупнейшим в мире гигантом цифровой рекламы, организацией, контролирующей 75% веб-отслеживания. Математика проста. Пока пользователи не сделают выбор, который ставит конфиденциальность на первое место, мы не можем ожидать, что что-либо изменится.