多数の広く使用されているブラウザ拡張機能が、ユーザーデータを収集し、プライバシーポリシーに明確な記載の下で販売していることが、LayerX Securityの調査で判明しました。
ブラウザセキュリティ企業は、ユーザーデータを販売する権利を留保している80以上の拡張機能を特定しました。これらにはストリーミング、広告ブロック、生産性向上ツールなどのカテゴリーにわたるツールが含まれ、組み合わせると数百万のインストール数があります。
「悪意のある拡張機能は自分たちを正規の拡張機能に偽装して暗い中で活動するのとは異なり、これらの拡張機能はユーザーに対して彼らがデータを収集し販売することを明確に伝えます。それはプライバシーポリシーにそのまま書かれています。ただし、誰もそれを読みません」と、LayerX Securityは述べています。
そのレポートはまた、Chrome Webストアの拡張機能の71%がプライバシーポリシーを公開していないと主張しています。これにより、70%以上のユーザーが、自分たちのデータがどのように処理されているかの可視性を提供しない少なくとも1つのインストール済み拡張機能を保有することになります。
ポリシーに開示されているデータの金銭化
行動を隠すのではなく、多くの拡張機能はデータ販売を許可するために幅広い法的言語に依存しています。「あなたの個人情報を販売または共有する可能性がある」などの声明は、パブリッシャーが裁量でユーザーデータを商業化することを可能にします。
約9000の拡張機能の初期データセットから、研究者たちは6666のプライバシーポリシーを分析し、手動レビュー後に82の拡張機能が商業的なデータ共有に従事していることを確認したと述べています。
Netflix、Hulu、Disney+、Amazon Prime Video、HBO Maxなどを含む24のメディア拡張機能のネットワークは、約800,000人のユーザーに到達しました。これらのツールは、主要なストリーミングプラットフォーム全体で視聴動作、好み、人口統計データを収集し、その後、それらの洞察をサードパーティに提供します。
これらのツールは分散型データ収集システムとして機能し、複数の方法でユーザーアクティビティをキャプチャし、金銭化します:
-
ストリーミングプラットフォーム全体の視聴履歴とエンゲージメントの追跡
-
好みと推定される人口統計を使用したユーザープロファイルの構築
-
集約された洞察を広告主とアナリティクス企業に提供および販売
広告ブロッカーと企業の露出
別の場所では、組み合わせて550万以上のユーザーベースを持つ少なくとも12の広告ブロッカーが、閲覧データを販売または共有していることが判明しました。一部は、ユーザーアクティビティに基づいて推定される機密属性を含む、詳細な行動情報を収集します。
ブラウザセキュリティリスクについて詳しく読む:研究者がAIブラウザのセキュリティギャップに警告
企業環境も影響を受けています。レポートは、企業システムから閲覧データを収集する29のビジネス向け拡張機能を特定し、商業的なデータセットを通じて内部活動を公開する可能性があります。
調査結果は、従来の拡張機能セキュリティチェックがプライバシーリスクを見落とす可能性があることを示唆しています。開示されている場合でも、データ販売慣行は限定的な監督の下で規模で運用でき、ユーザーと組織の両方に課題をもたらします。
「ほとんどのブラウザは既に企業ポリシーを通じた一元化された拡張機能管理をサポートしています。ChromeのExtensionSettings、EdgeのグループポリシーFirefoxの企業構成です」と、LayerXは述べました。「拡張機能ガバナンスポリシーがない場合、それが最初のステップです。ある場合は、プライバシーポリシーレビューを評価基準に追加してください。」
翻訳元: https://www.infosecurity-magazine.com/news/browser-extensions-sell-user-data/
