Google reCAPTCHA ma za zadanie sprawdzić, czy nie jesteś robotem. Robi nie tylko to. W zawoalowany sposób pomaga Google'owi śledzić Twoje poczynania w sieci, choć nie powinna.
reCAPTCHA to świetny mechanizm, pozwalający odsiać boty zbierające dane ze stron tam, gdzie autorzy nie życzą sobie ich obecności. W polityce prywatności Google obiecuje, że nie używa danych z systemu reCAPTCHA do wysyłania kierowanych reklam. Nie gwarantuje jednak, że reCAPTCHA jest odizolowana od innych usług Google. Według specjalistów zabezpieczenie może jednak być używane do śledzenia użytkowników w nieco pokrętny sposób.
Okazuje się, że kod JavaScript zawarty reCAPTCHA umożliwia przeprowadzenie trójstronnej synchronizacji. Dwie odizolowane domeny mogą skojarzyć ciasteczka ustawione dla tej samej przeglądarki. W tej sytuacji, gdy internauta odwiedzi stronę z reklamami z jednej z tych stron, druga też może mu zaproponować kierowane reklamy. Obie strony otrzymają zapytania powiązane z tą konkretną przeglądarką. Odkrył to Zach Edwards, założyciel Victory Medium, zajmującej się analityką WWW.
Zobacz: CAPTCHA: koniec przepisywania obrazków coraz bliższy
Zobacz: Google odda nam prywatność, zablokuje pliki cookie z zewnętrznych stron
Zobacz: W Google Chrome 84 internet będzie mniej irytujący i ciut szybszy
Dwie różne strony nie powinny mieć dostępu do tego samego zestawu ciasteczek. Nie pozwalają na to modele zabezpieczeń przeglądarek. Jednak trójstronna synchronizacja pozwala to obejść i jest to powszechna praktyka w świecie reklamy internetowej. Firmy reklamowe chętnie porównują i dopasowują ciasteczka, Google też to robi między swoimi domenami. Nic dziwnego – dzięki synchronizacji reklama może podążać za jednym użytkownikiem przez znacznie większy wycinek internetu. To oznacza lepsze dopasowanie i większą skuteczność.
Wszystko wskazuje na to, że reCAPTCHA (gstatic.com) pośredniczy w trójstronnej synchronizacji z domeną google.com. Nie robi tego jednak w oczywisty sposób. Jeden ze skryptów, wchodzących w skład reCAPTCHA wysyła zapytanie do domeny google.com. Wejście na stronę z zamieszczonym zabezpieczeniem skutkuje zapisaniem ciasteczka z domeny google.com, nawet jeśli przeglądarka blokuje ciasteczka stron trzecich.Co więcej, Edwards odkrył jak Gogole obchodzi restrykcyjne zabezpieczenia przeglądarki Safari. Zamiast pliku cookie zapisuje identyfikator sesji.
This looks an aweful lot like the Safari cookie-blocking-bypass technique @Google employed in 2012 (which the FTC fined them for)
— ashkan soltani (@ashk4n) October 29, 2020
See: https://t.co/Oe1BNuOM8u
/cc @JuliaAngwin @jenvalentino https://t.co/gEBeArNw4X
Ashkan Soltani, pracujący w Federalnej Komisji Handlu USA zwrócił uwagę, że to wygląda identycznie jak obejścia Google'a z 2012 roku. Google został wtedy ukarany grzywną. Ciekawe, czy tak samo będzie i tym razem.
Ciekawostka: Google przeczy sam sobie. Z jednej strony twierdzi, że z reCAPTCHA nie są zapisywane żadne ciasteczka, a z drugiej wymienia powiązaną domenę gstatic.com na liście domen utrzymywanych w celu dystrybucji plików cookies.
Źródło zdjęć: Google
Źródło tekstu: The Register, Zach Edwards, Ashkan Soltani
