Znowu nas szpiegują

Na przełomie lipca i sierpnia br. specjalista od bezpieczeństwa sieci Steve Gibson - który nota bene odegrał także istotną rolę w sprawie Aureate - opublikował w Internecie (http://grc.com/downloaders.htm) informację ostrzegającą użytkowników przed dwoma programami typu download manager - RealDownload firmy RealNetworks oraz Smart Download firmy Netscape.

Obydwa te programy, oparte zresztą na wspólnym źródle - nie sprzedawanym już programie NetZip Download Demon - mają ułatwiać pobieranie plików z Internetu. Program przejmuje kontrolę w momencie kliknięcia na odsyłacz do pliku w przeglądarce WWW i pozwala np. na przerywanie i wznawianie pobierania pliku w dowolnym momencie, "dociąganie" brakujących części pliku, a także utworzenie listy plików, które następnie program będzie automatycznie "hurtowo" ściągać, np. w nocy

Te wygodne programy jednakże przesyłają do swoich producentów adres URL każdego ściąganego przy ich użyciu pliku! Jest to zresztą wyraźnie napisane w dokumentacji programu, dokumentacja ta jednakże stwierdza, że dane przesyłane są w sposób anonimowy. Tymczasem Steve Gibson stwierdził, że wraz z każdą informacją o ściąganym pliku program przesyłał 32-znakowy kod, w dużej części unikalny dla każdego komputera, co pozwalało powiązać ze sobą adresy wszystkich plików ściąganych przez danego użytkownika! Co więcej, w pewnych sytuacjach - gdy użytkownik wcześniej kupował on-line w firmie RealNetworks jakikolwiek program - wraz z tym kodem każdorazowo przesyłane było nazwisko i adres e-mailowy użytkownika, podane przy zakupie!

Firma RealNetworks początkowo zareagowała na informacje Steve'a Gibsona groźbami prawnymi i żądaniami odwołania opublikowanych informacji, jednak po przedstawieniu konkretnych faktów dotyczących działania programu zmieniła front i zdecydowała się usunąć z nowych wersji programu RealDownload przesyłanie kontrowersyjnych danych. Program wprawdzie dalej wysyła adresy URL ściąganych plików, opcję tę można jednak wyłączyć w jego konfiguracji.

Nie zareagowała natomiast w żaden sposób America Online (będąca obecnie właścicielem Netscape), co spowodowało wytoczenie jej procesu przez Christophera Spechta, dostawcy Internetu z New Jersey. Firmie zarzuca się naruszenie obowiązującej od 1986 roku ustawy o prywatności w komunikacji elektronicznej (ECPA). Warto tu wspomnieć, że wciąż oczekuje na rozstrzygnięcie proces wytoczony na analogicznej podstawie w ubiegłym roku firmie RealNetworks, a dotyczący programu RealJukebox, który bez wiedzy użytkownika przesyłał do firmy informacje o utworach muzycznych odtwarzanych za jego pomocą.

Coraz powszechniejszy dostęp do Internetu powoduje, że funkcje "szpiegowania" użytkowników pojawiają się już nie tylko w aplikacjach internetowych. "Salon Magazine" (http://www.salon.com/tech/col/garf/2000/06/15/brodcast/) informuje o przypadku wykrycia podprogramu "szpiegowskiego" w multimedialnych CD-ROM-ach przeznaczonych dla dzieci (np. do nauki czytania), produkowanych przez firmę Broderbund Software (część firmy Mattel, producenta m.in. lalki Barbie). Tym razem program wyposażony był nawet w moduł szyfrujący przesyłane dane przy użyciu PGP (!), tak więc nie wiadomo, jakie w istocie informacje przesyłał. Niemniej jednak ani instrukcja programu, ani komunikaty pojawiające się na ekranie podczas instalacji nie zawierały żadnej informacji o obecności takiej funkcji. Znamienny jest fakt, że po uchwaleniu w ubiegłym roku w USA ustawy o ochronie prywatności dzieci w serwisach on-line (COPPA), zakazującej zbierania jakichkolwiek informacji o osobach poniżej 13 lat bez wyrażonej jawnie zgody rodziców, firma Broderbund zmieniła programy instalacyjne we wszystkich swoich produktach, usuwając z nich funkcje "szpiegowskie".

Więcej informacji na temat programów szpiegujących użytkowników, sposobach ich wykrywania oraz usuwania można znaleźć na stronach Steve'a Gibsona: http://grc.com/optout.htm.

Powrót do wykazu artykułów o Internecie

Statystyka