Эта почти детективная история, о которой известно далеко не всем "хромо-юзерам", произошла на моих глазах и вызвала жаркие споры в т.ч на портале OpenNET во второй половине июня этого года. Благодаря бдительности разработчиков проекта Debian и оперативно-негативной реакции сообщества в кодовую базу Chromium были внесены изменения, отключающие "автоматическую скрытую загрузку исполняемого бинарного файла в браузере, позиционируемом как свободный продукт". Кто не в курсе происходящего – прошу под кат, история интересная и поучительная (но не для компании Google). Впрочем, обо всем по порядку.
Итак, солнечным днем 16 июня 2015 года один из разработчиков свободной ОС Debian обратил внимание на странное поведение веб-обозревателя Chromium, который начиная с 43 сборки стал без каких-либо уведомлений загружать дополнение "Chrome Hotword Shared Module", поставляемое в виде бинарного файла. Дополнение загружалось сразу после первого запуска программы, при этом компонент не отображался в списке установленных расширений chrome://extensions, а в настройках отсутствовала опция для отключения данного поведения.
Предполагается, что аддон обеспечивал работу голосового сервиса "OK, Google", но сам факт загрузки незадекларированного исполняемого бинарного файла является грубым нарушением правил поставки пакетов в репозиториях Debian. Более того, в дополнение могли быть интегрированы бэкдоры (англ. backdoor) для контроля за действиями пользователей, т.к. в "Hotword" постоянно включен захват звука, что можно использовать для организации прослушивания.
После появления разоблачающей публикации на сайте YCombinator, разработчики из Google Inc. прокомментировали наличие модуля тем, что он не активируется без явного включения опции "O'кей, Google" в настройках chrome://settings (на самом деле, насильно загруженный модуль остается активным даже при выключенной поддержке сервиса голосового управления, см. четвертый скриншот). Отсутствие в списке установленных расширений объясняется тем, что внутренние модули не выводятся в списке. А бинарный характер дополнения, оказывается, связан с реализацией модуля с использованием технологии Native Client и применением проприетарного алгоритма распознавания речи, код которого является закрытым.
Далее, в ответ на справедливую критику таки было выпущено обновление пакета Chromium для Debian с исправлением, блокирующим загрузку подозрительного аддона, а чуть позже, 24 июня вышли обновления для прочих поддерживаемых ОС.
Кстати, это не первая попытка Google шпионить за пользователями "белого и пушистого" Chromium, подробности читайте здесь.
Разумеется, многие подумали: "Если такие безобразия позволительны в браузере с открытым исходным кодом, то наверняка одноименный модуль есть и в "закрытом" близнеце-брате Chrome". И да, автор заметки проверил три последние сборки самого популярного обозревателя в мире и обнаружил все ту же папку с файлами скрытого расширения. Замечу, что предкрайняя мультиплатформенная версия Хрома 43.0.2357.130 увидела свет 22 июня 2015 года, т.е. одновременно с выходом исправленной для Debian.
Без комментариев, т.к. такое поведение разработчика можно описать как "за гранью добра и зла".
Ниже, по пунктам и в "картинках", читайте о быстром алгоритме избавления от бэкдорной части Вашего инструмента для интернет-серфинга.
Как удалить скрытый модуль "Hotword" из Chrome
- Через ввод, с Enter-подтверждением, в адресной строке браузера команды chrome://settings, откройте настройки Хрома и проверьте, если не пользуетесь, чтобы был снят флажок с пункта "Включить голосовой поиск по команде "О,кей Google" (скриншот).
- Аналогично, посредством команды chrome://voicesearch посетите секцию "О Голосовом поиске" и убедитесь, что "сорное" расширение "Hotword" активно → в строке "Shared Module Path" выделите и скопируйте до директории lccekmodgklaepjeofjdjpbminllajkg путь к патчу (скриншот).
- В адресной строке Проводника Windows, через "горячую" комбинацию клавиш "Ctrl + V" ("Вставить") и "Enter", зайдите в директорию "Extensions" → выделив озвученную папку правой кнопкой мыши, удалите модуль "Hotword" в корзину (скриншот) → для полного профита, также правой мышиной кнопкой очистите "Корзину" от "мусора".
Финальные мысли о Chrome и Chromium
Итак, прошел месяц с момента обнаружения в "открытом и безопасном" Chromium незадекларированного расширения, а "воз и ныне там". В чем легко может убедиться любой пользователь популярнейшего обозревателя Chrome. По мнению автора публикации, возможно, пришло время совместными усилиями немного подправить радужную для корпорации Google "браузерную" статистику, т.е. перейти на более безопасные и максимально открытые - с открытым исходным кодом - альтернативные продукты. И первый претендент – разумеется, Mozilla Firefox и его клоны (о Pale Moon см. здесь). В противном случае, игра в "кошки-мышки" проигрышна для любого из нас, так как плата за такую "бесплатность" высока, а право первого хода - всегда за разработчиками.
Примечание первое: (цитата) "В ответ на инцидент со скрытой поставкой в Chromium бинарного дополнения, один из участников проекта Arch Linux начал развитие собственной сборки, выпущенной под именем Inox Browser. Сборка основана на кодовой базе Chromium и отличается применением ряда дополнительных патчей, нацеленных на усиление приватности и отключение излишней функциональности, завязанной на сервисы Google".
Примечание второе: Если вам небезразлична поднятая тема, просьба проголосовать ссылкой на статью в любой удобной социальной сети, все значки "под рукой". Разумеется, также можно посильно поучаствовать в обсуждении (комментируйте!).
Примечание третье: Тем, кто не расшифровал вторую часть названия ("ОК, не прокатило"), напомню анекдот.
"В pестоpане:
- Официант, счет!
- Пожалуйста.
- А это что такое? "Чашка кофе – 50, пирожное – 100, прокатило – 100, итого – 300 руб." Что за "прокатило"?!
- Ну, значит, в этот раз не прокатило…"
Дмитрий Евдокимов
www.TestSoft.su
Комментарии
А где кат?
После первой "картинки".
egor-kuryanovich, "заминусовав", "отомстил" мне за коммент под своей малополезной статьей, пойду застрелюсь)...
з.ы. посмотрел, за один "минус" мне "отминусовали" аж все 40 опубликованных статьи (!). В Кащенко провели интернет)?..
dmitry, плюнуть и растереть. Сырица мне тоже устраивал "минусовку". Но ничего не поделаешь -- демократия.
Главное -- читают!
Спасибо, по просмотрам действ. "выше среднего".
Дмитрий, не в Кащенко - в Новинки. )) Таки да! Мелок пошёл юзер...
У нас это Скворцова-Степанова ("Скворечник"). Всем спасибо за возврат "на круги своя".
"казнить нельзя помиловать").