Computer >> 컴퓨터 >  >> 네트워킹 >> 인터넷

Google 크롬 핫워드 개인정보 보호 문제 - 대상 및 방법

미래의 기술 미디어가 잘하는 것이 한 가지 있다면 그것은 과대 광고 마차에 뛰어 올라 공포를 조성하고 개인 정보 보호 및 보안과 관련된 확인되지 않은 불완전한 이야기를 폭파하는 것입니다. 그러한 이야기 ​​중 하나는 Google 크롬 및 Chromium에 있는 기능과 관련이 있으며, 이를 통해 새 탭과 Google 검색 페이지에서 'OK, Google' 핫워드를 사용할 수 있습니다.

이것은 새로운 것이 아니지만, 데비안 사용자가 Chromium 43 다운로드에서 새로운 폐쇄 소스 블롭을 보고했을 때 이야기가 폭발했습니다. 이로 인해 더 넓은 커뮤니티가 열광했고 Google이 스파이 기관, 다양한 의 오리피스가 위반되었고 사람들은 다른 브라우저로 이동했습니다. 이제 기술 미디어가 잘하지 못하는 한 가지는 실제로 사람들이 문제를 해결하도록 돕는 것입니다. 따라서 Chrome 또는 Chromium이 사용자를 감시하고 있을 수 있습니다. 이를 완화할 수 있는 방법이 있습니까? 보여드리겠습니다.

우선

당신이 해야 할 가장 기본적인 일은 스스로에게 물어보는 것입니다:당신이 구글을 믿지 않는다면 대체 왜 그 제품을 사용하고 있습니까? 회사가 귀하의 행동을 프로파일링하고 귀하에게 광고를 판매하려는 것이 두렵다면 Chrome을 사용하는 이유는 무엇입니까? 당신의 행동은 말보다 더 크게 말합니다. 개인 정보 보호 및 보안이 정말 두렵다면 브라우저를 사용하지 않아야 합니다.

그 문제에 대해 Google을 신뢰하지 않는다면 Google 제품을 사용해서는 안 됩니다. 그러나 사람들은 스마트폰에 개인 데이터가 수집되는 것을 매우 좋아하고, 브라우저를 사용하는 동안 실제로 Google에 로그인하기 때문에 브라우저에 풍부한 검색 기록이 있고, 이유를 묻지 않고 민감한 정보도 교환합니다. 이메일, 채팅 등을 사용한 개인 정보. 그것이 현실 확인입니다. 브라우저에 새로운 기능이 추가되어 남용될 것이라고 생각한다면 다른 모든 것을 무시하고 있는 것입니다.

이제 기술적인 세부 사항

괜찮은. 따라서 Chrome을 보면 설정 창의 검색 아래에 음성 기능을 활성화할 수 있는 옵션이 있습니다. 기본적으로 비활성화되어 있습니다.

자세한 내용을 보려면 chrome://voicesearch로 이동하세요. 여기에서 실제로 기능에 대한 추가 기술 세부 정보를 볼 수 있습니다. 이는 Windows와 Linux 모두에 해당되며, Windows 7과 CentOS 7 모두에서 제공하는 기능을 테스트하고 확인했습니다. 이는 명백한 선택이 아니지만 참고할 수 있는 단일 소스 이상을 제공하고 싶었습니다. 두 로케일도 안전한 편입니다.

기능, 활성화 또는 비활성화?

음성 검색을 켜거나 끄면 Windows에서는 마이크 예/아니오 상태가 안정적으로 변경되지만 Linux에서는 기능 상태가 반영되지 않을 수 있습니다. 그러나 이것은 약간 오해의 소지가 있습니다. 몇 초 후에 이에 대해 논의할 것입니다. 오디오 캡처 및 NaCl은 항상 활성화된 상태로 유지됩니다. Hotword Search Enabled 값은 선택한 옵션에 관계없이 변경되지 않습니다. 선택한 옵션에 관계없이 공유 라이브러리 및 확장의 상태는 변경되지 않습니다.

그리고 CentOS 7 상자에는 다음이 있습니다.

여기에 우리가 살펴봐야 할 더 유용한 정보가 있습니다. 언급했듯이 음성 검색은 확장 프로그램으로 제공되는 것으로 보이며 공유 모듈도 있습니다. 실제로 폭풍을 일으킨 것은 공유된 폐쇄 소스 바이너리 블롭입니다. 하지만 확장자를 살펴보겠습니다.

확장자

Windows의 경로는 Program Files를 가리키고 Linux의 경우 위의 스크린샷에서 볼 수 있듯이 /opt 아래에 있습니다. 그러나 매우 이상하게도 두 플랫폼 모두에서 이러한 경로는 유효하지 않습니다. 거기에는 아무것도 없습니다.

확장 프로그램 ID nbpagnldghgfoolbancepceaanlmhfmd
확장 버전 0.0.1.4
확장 경로 C:\Program Files (x86)\Google\Chrome\
애플리케이션\43.0.2357.130\리소스\핫워드
확장 프로그램 상태 활성화됨

예를 들어 Linux에서와 같이 시스템 전체를 검색하더라도 사용자의 홈 폴더 또는 디렉토리 내의 사용자 프로필 내부에 있는 공유 모듈 조각 외에는 아무 것도 찾을 수 없습니다.

찾기 / -이름 \*핫워드\*
/home/roger/.config.../x86-64_en-us/hotword.data
/home/roger/.config.../x86-64_en-us/hotword-x86-64.nexe
/home/roger/.config.../0.3.0.5_0/hotword_ru.nmf
/home/roger/.config.../hotword_pt-br.nmf
/home/roger/.config.../hotword_.nmf
...

또한 확장 프로그램 목록에 확장 프로그램이 표시되지 않는데 이는 Chrome 및 Chromium 사용자가 가지고 있는 또 다른 불만 사항입니다. 어떤 것이 확장으로 간주된다면 그것은 눈에 보여야 하고 사용자는 그 상태를 제어할 수 있어야 합니다.

그러나 확장 프로그램을 보려면 명령줄에서 --show-component-extension-options 플래그를 사용하여 Google 크롬을 시작하면 음성 검색을 포함한 전체 목록을 볼 수 있습니다. 어떤 식으로든 확장 프로그램을 활성화, 비활성화 또는 제거할 수 없습니다. 좌절과 두려움의 또 다른 원인입니다.

공유 모듈

공유 모듈은 실제로 사용자 프로필 내부에 있습니다. 길이 다소 복잡합니다. Windows와 Linux 모두 동일한 이름과 확장자(nexe)로 제공됩니다. 기본적으로 공유 모듈에는 핫워드 구성 파일에서 다양한 언어 구성 및 기타 설정을 읽는 데이터인 두 개의 파일이 포함됩니다.

공유 모듈 ID lccekmodgklaepjeofjdjpbminllajkg
공유 모듈 버전 0.3.0.5
공유 모듈 경로 C:\Users\...\AppData\Local\Google\
크롬\사용자 데이터\기본\확장 프로그램\
lccekmodgklaepjeofjdjpbminllajkg\
0.3.0.5_0
공유 모듈 상태 활성화됨

구성은 일련의 지역/언어별 파일과 매니페스트로 제공되며 모두 매우 보기 흉한 JSON 형식입니다. 이것에 대해 특별한 것은 없습니다. 표준 Chrome 확장 기능입니다. 보라:

{
"description":"Chrome 핫워드 지원 파일.",
...
"키":"...MIIBIjB",
"manifest_version":2,
"minimum_chrome_version":"39",
"name":"Chrome 핫워드 공유 모듈",
"플랫폼":[ {
"lang":"드",
"nacl_arch":"팔",
"sub_package_path":"_platform_specific/arm_de/"
}, {
...

nexe 파일은 실제로 바이너리이며 디버그 기호가 제거되었습니다:

파일 ./.config/google-chrome.../x86-64_en-us/hotword-x86-64.nexe
./.config/google-chrome.../x86-64_en-us/hotword-x86-64.nexe:ELF 64비트 LSB 실행 파일, x86-64, 버전 1(SYSV), 정적으로 링크됨, BuildID[sha1] =0x555dd22448ca6d88d6311092340a8b92309865f5, 제거됨

Chrome 실행을 추적하고 음성 검색 설정을 전환하고 핫워드를 사용할 때 어떤 일이 발생하는지 보려면 Chrome에 대한 또 다른 숨겨진 플래그를 사용하지 않고는 할 수 없습니다. 기본값:

strace -f -s512 -o /tmp/chrome /opt/google/chrome/chrome
setuid 샌드박스가 루트로 실행되고 있지 않습니다. 일반적인 원인:
* 디버거처럼 ptrace를 사용하는 권한이 없는 프로세스.
* 부모 프로세스 세트 prctl(PR_SET_NO_NEW_PRIVS, ...)
새 네임스페이스로 이동 실패:PID 네임스페이스 지원, 네트워크 네임스페이스 지원, 실패:errno =작업이 허용되지 않음

--disable-setuid-sandbox로 프로그램을 실행해야 합니다. 그러나 실행에는 실제로 유용하거나 흥미로운 것이 없으며 버튼 클릭 및 확인란 상태 변경은 시스템 호출이나 라이브러리 호출에 반영되지 않습니다. 모두 내부 기능입니다. 이것이 의심스럽다고 생각할 수도 있지만 그렇지 않습니다. 이것은 완벽하게 괜찮습니다.

미니 요약

따라서 현재 우리가 가지고 있는 것은 다음과 같습니다.

시스템 설정에서 'OK, Google' 핫워드를 켜거나 끌 때 음성 검색 마이크 상태가 변경되지만 이 설정에 영향을 줄 수 있는 유일한 메커니즘은 아닙니다. 다른 두 오디오 설정은 영향을 받지 않습니다. 핫워드, 확장 및 공유 모듈은 사용하지 않거나 브라우저 설정 메뉴 내에서 전환된 경우에도 항상 활성화된 것으로 읽힙니다.

The functionality is listed as an extension, but the said extension does not exist on the filesystem. It does show in the list, when Chrome is invoked with the special flag.

The shared module has the same name on Windows and Linux, and it resides inside the user's profile. It is stripped of debug symbols, and when traced, it does not show any activity related to the voicesearch functionality.

How to disable voicesearch

Now, if you test your browser and microphone, you will see that 'OK, Google' works when enabled and does not work when disabled. 좋은. You can also always use the mic icon in Google search to perform a voice search REGARDLESS of the above. In turn, Chrome will ask you if you want to permit the use of your microphone:

If you want to completely disable the browser's ability to listen, then you will want to yank the shared module away. You can change its permissions or move the files into another folder, or even delete them:

chmod 000 ~/.config/.../x86-64_en-us/hotword-x86-64.nexe

If you do this, then you will see the following behavior. In Windows, the status of the microphone will not change in the chrome://voicesearch page, unless you check the box on or off. Even if the hotword file is not present, the browser will function without any errors, and it will not throw any exceptions. However, the voice search WILL NOT work. Moving, deleting or de-permissioning the hotword executable definitely works.

In Linux, the state of the microphone will change to No if the shared module is missing, and you will not be able to use the voice search with hotwords - unless you explicitly click the audio button in Google search pages.

The state of the shared module and the extension will read ENABLED, on both platforms, even if you delete the files. However, its type will change from a known, recognizable platform to one that is not defined:

Now, since we deleted the files, they could in theory come back with the next browser upgrade, so this is something you need to pay attention to. But again, don't use a product you don't trust. If you are really that paranoid about what Google is doing, then you should not mess with Chrome. In fact, the whole purpose of this exercise was to show you that things can be done, things aren't as sinister as they initially appear. You do have the ability to control your system, and you understand what the browser does now.

결론

Google is definitely not helping itself by offering so many conflicting messages in one package. Enabled, disabled, yes, no, there are half a dozen permutations to this functionality, none of which really reflect whether the technology is working and how it's working. But it's rather simple. The GUI settings menu governs the state, really. And if you are really paranoid, you can remove the shared module, and the functionality will be gone no matter what you select in the menu.

I can understand the outrage of Chromium users, but the foundation for their fear is unfounded. Again, Google could have helped itself by making the whole hotword attempt more transparent and easier to navigate and tweak. But there's nothing to indicate any malice. Just wonky coding. Of course, there's the bigger, fundamental question of trust. Here, my advice is rather simple. Do not use the software if you don't feel safe with it. True for Chrome or any other program. Bitching does not help. Dead simple.

거기. 끝났습니다. This isn't as ugly as the GWX thing Microsoft pulled on its users, but it comes close. Then, we can never really know what this binary blob might do one day, and we have no control over it. Perhaps that's the real concern. But if you must, delete the files and problem solved. The reason why I wrote this article. To give you the choice to decide what's best for you. Oh, and Google did pull the extension out of the Chromium builds, so there. No more worries. Until the next time.

건배.