كشف باحث في الأمن السيبراني، يُعرف بـ Q Continuum، عن رصد ممارسات مقلقة تتعلق بخصوصية البيانات في متجر إضافات متصفح Google Chrome. رصد الباحث 287 إضافة برمجية ترسل سجلات تصفح المستخدمين وعناوين المواقع التي يزورونها إلى جهات خارجية، واضعة بيانات نحو 37.4 مليون عملية تنصيب في دائرة الخطر.
وأوضح تقرير نشره موقع The Register أن هذه الممارسات تتجاوز أغراض الإحصاء التقليدية، إذ يتيح سجل التصفح تكوين صورة دقيقة عن اهتمامات الأفراد وسلوكهم الرقمي. وبينت أبحاث أكاديمية استشهد بها التقرير أن ادعاءات تجهيل البيانات، أي إزالة الهوية الشخصية عنها، لا تضمن الخصوصية الكاملة، حيث يمكن إعادة ربط هذه البيانات بأصحابها عبر مطابقة البصمات الرقمية مع المعلومات المتاحة في شبكات التواصل الاجتماعي.
منهجية كشف التسريب عبر تحليل البيانات
اعتمد الباحث في تقريره على آلية فحص تقنية واسعة النطاق، حيث استحدث بيئة اختبار افتراضية تشغل متصفح Chrome داخل نظام Docker، مع مراقبة حركة البيانات عبر وسيط اعتراض يُعرف بـ MITM Proxy. وتعتمد فكرة الفحص على إجراء زيارات اصطناعية لروابط إلكترونية متفاوتة الطول، ومراقبة حجم البيانات الصادرة من المتصفح.
وتشير النتائج إلى وجود علاقة طردية؛ فكلما زاد طول عنوان الموقع المزار، زاد حجم البيانات الصادرة نحو خوادم خارجية عند تفعيل إضافات معينة. ويعد هذا التزامن مؤشراً تقنياً قوياً على أن الإضافة تنقل العنوان الكامل للموقع أو أجزاءً جوهرية منه إلى جهات ثالثة. وأشار الفريق البحثي إلى تعمد عدم نشر التفاصيل البرمجية الدقيقة لعملية الكشف، وذلك لمنع الجهات المسيئة من تطوير أساليب للالتفاف على هذه الرقابة مستقبلاً.
غموض حول هوية جامعي البيانات
وفقاً للبيانات التي أوردها التقرير، ارتبطت تدفقات البيانات المسربة بأكثر من 30 جهة متخصصة في جمع البيانات. ومع ذلك، يسود الغموض هوية الجهة التي تستقبل البيانات في نحو 20 مليون عملية تنصيب من إجمالي العدد المرصود، وهو ما يضاعف من حجم المخاطر الأمنية والقانونية.
وشملت قائمة الجهات التي ظهرت في نتائج التتبع شركات وتحالفات تقنية متنوعة، منها Similarweb وكيانات مرتبطة بها مثل Big Star Labs، بالإضافة إلى شركات مثل Semrush وAlibaba Group وByteDance.
فجوات الحوكمة في متجر Google
يلفت التقرير الانتباه إلى نمط متكرر في هذه الإضافات؛ إذ تظهر كأدوات بسيطة المهام، لكنها تطلب صلاحيات واسعة للوصول إلى بيانات حساسة دون ضرورة تقنية واضحة. وغالباً ما تدرج بنود جمع البيانات ضمن سياسات خصوصية معقدة مكتوبة بلغة قانونية مطولة، تدفع المستخدمين للموافقة عليها دون إدراك حقيقي لتبعاتها.
وعلى صعيد الرقابة، يعتمد متجر Chrome Web Store سياسة الاستخدام المحدود التي تهدف ظاهرياً إلى منع مشاركة بيانات المستخدمين مع وسطاء البيانات. إلا أن الخبراء، ومنهم الباحث Wladimir Palant، يشيرون إلى وجود ثغرات تسمح باستغلال هذه السياسة إذا صِيغت مبررات الاستخدام بعبارات فضفاضة.
وحتى توقيت نشر هذه المعلومات، لم تصدر استجابة من شركة Similarweb على طلبات التعليق، كما لم يصدر رد فوري من شركة Google حيال هذه النتائج.
