Sambungan pelayar yang kelihatan tidak berbahaya di permukaan telah secara rahsia menjadikan pengguna sebagai bot pengikis web, menjejaskan hampir 1 juta peranti di seluruh dunia. Penemuan ini telah mencetuskan perbincangan sengit mengenai etika memonetisasi sambungan pelayar dan keberkesanan langkah keselamatan semasa.
Model Perniagaan Tersembunyi Di Sebalik Sambungan Percuma
Penyelidik keselamatan John Tuckner menemui 245 sambungan merentasi Chrome , Firefox , dan Edge yang menggabungkan MellowTel-js , sebuah perpustakaan JavaScript yang direka untuk memonetisasi sambungan melalui pengikisan web. Sambungan-sambungan ini, yang menyediakan tujuan sah seperti mengurus penanda buku atau meningkatkan volum pembesar suara, telah dimuat turun hampir 909,000 kali. Komuniti telah lama mengesyaki amalan sedemikian, dengan orang dalam industri menyatakan bahawa tingkah laku jenis ini bukanlah perkara baru.
Sambungan dan VPN telah melakukan ini selama bertahun-tahun, ia bukan rahsia. Di tempat saya bekerja, kami membayar syarikat proksi/pengikisan yang juga menawarkan pengikisan 'senyap' menggunakan IP kediaman.
Monetisasi berfungsi dengan menghubungkan pelayar pengguna kepada pelanggan berbayar yang memerlukan perkhidmatan pengikisan web. Syarikat seperti Olostep menggunakan rangkaian pelayar ini untuk mengelakkan sistem pengesanan bot, mengakses laman web melalui pelayar pengguna sebenar dan bukannya bot pengikis tradisional.
Model Hasil MellowTel:
- Pembangun sambungan menerima: 55% daripada hasil
- MellowTel mengekalkan: 45% daripada hasil
- Pelanggan utama: Pengiklan dan perkhidmatan web scraping
- Kaedah: Perkongsian lebar jalur melalui pelayar pengguna
Risiko Keselamatan Melebihi Kebimbangan Privasi
Aspek yang paling membimbangkan bukan sahaja penggunaan lebar jalur tanpa kebenaran, tetapi bagaimana sambungan ini melemahkan keselamatan pelayar. MellowTel mengeluarkan pengepala keselamatan kritikal seperti Content-Security-Policy dan X-Frame-Options daripada respons web, menjadikan pengguna terdedah kepada serangan skrip merentas tapak yang biasanya akan disekat. Ini mewujudkan ancaman berganda: pengguna menjadi peserta tanpa sedar dalam operasi pengikisan komersial sementara pelayaran mereka sendiri menjadi kurang selamat.
Sambungan juga menyuntik iframe tersembunyi ke dalam halaman web, menyambung ke laman web yang tidak diketahui yang dinyatakan oleh pelayan jauh. Pengguna tidak mempunyai cara untuk mengetahui tapak mana yang diakses melalui pelayar mereka, mewujudkan potensi pendedahan kepada kandungan berniat jahat.
Pengepala Keselamatan yang Dibuang oleh MellowTel:
- Content-Security-Policy (CSP)
- X-Frame-Options
- Pengepala keselamatan pelayan web yang lain
- Kesan: Peningkatan kerentanan terhadap serangan skrip merentas laman
Respons Industri dan Cabaran Penguatkuasaan
Vendor pelayar telah bergelut untuk menguatkuasakan dasar mereka sendiri terhadap amalan sedemikian. Dasar kedai web Chrome melarang sambungan dengan pelbagai tujuan, namun beratus-ratus sambungan ini kekal aktif sehingga baru-baru ini. Komuniti telah menyeru model pengedaran yang lebih baik, serupa dengan F-Droid untuk aplikasi Android , yang akan memberikan lebih ketelusan mengenai tingkah laku sambungan.
Usaha penguatkuasaan semasa menunjukkan keputusan bercampur-campur. Daripada 245 sambungan yang dikenal pasti, hanya sebahagian kecil telah dikeluarkan atau dikemas kini untuk menghapuskan perpustakaan bermasalah. Chrome telah menyaksikan 12 daripada 45 sambungan dinyahaktifkan, sementara Firefox dan Edge telah mengeluarkan lebih sedikit lagi.
Sambungan yang Terjejas mengikut Platform Pelayar:
- Chrome : 45 sambungan (12 kini tidak aktif)
- Edge : 129 sambungan (8 kini tidak aktif)
- Firefox : 71 sambungan (2 kini tidak aktif)
- Jumlah muat turun: Hampir 909,000 merentas semua platform
Implikasi Yang Lebih Luas
Insiden ini menyerlahkan trend yang semakin berkembang di mana perisian percuma memonetisasi melalui pengumpulan data tersembunyi atau perkongsian lebar jalur. Amalan ini melangkaui sambungan pelayar kepada VPN , aplikasi mudah alih, dan perisian berbalut yang secara terbuka mengiklankan cara untuk membuat wang daripada lebar jalur internet yang tidak digunakan.
Untuk rangkaian perusahaan, sambungan ini menimbulkan risiko khusus dengan memintas kawalan keselamatan dan mengakses laman web yang tidak dibenarkan. Sifat dinamik sasaran pengikisan bermakna bahawa walaupun sambungan yang berniat baik boleh mendedahkan rangkaian korporat kepada risiko keselamatan yang tidak diketahui.
Penemuan ini berfungsi sebagai peringatan bahawa sambungan pelayar percuma sering datang dengan kos tersembunyi, sama ada dalam privasi, keselamatan, atau penyertaan tanpa sedar dalam operasi komersial yang pengguna tidak pernah bersetuju untuk menyokong.
Rujukan: Browser extensions turn nearly 1 million browsers into website-scraping bots