LINUX.ORG.RU

Обнаружена скрытая загрузка проприетарного блоба браузером Chromium

 ,


9

5

Один из пользователей Debian установил Chromium 43 и обнаружил, что при первом запуске браузер, не уведомляя пользователя, молча загружает и устанавливает расширение «Chrome Hotword Shared Module». Указанное расширение содержит внутри себя блоб (бинарный компонент), исходники которого не предоставляются. При этом, расширение даже не отображается в списке установленных расширений и не предоставляет возможности себя отключить.

Блоб называется «hotword-x86-64.nexe»:

$ chromium --temp-profile &
$ find /tmp/tmp.*/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja/hotword.data
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja/hotword-x86-64.nexe
$ file /tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja/hotword-x86-64.nexe
/tmp/tmp.YClr3VfmnS/Default/Extensions/lccekmodgklaepjeofjdjpbminllajkg/0.3.0.5_0/_platform_specific/x86-64_ja/hotword-x86-64.nexe: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, BuildID[sha1]=24d25d55886dca48921031d6928b0a34f5659830, stripped

Этот компонент реализует систему голосового управления «OK, Google» и осуществляет постоянный захват звука с микрофона, ожидая произнесения ключевого слова.

Такое поведение браузера обеспокоило разработчиков Debian, поскольку скрытая загрузка проприетарного компонента грубо нарушает политику Debian, и пока остаётся неясным, как это упустил мейнтейнер соответствующего пакета. Вдобавок постоянный перехват микрофона сторонним закрытым приложением вызывает понятного рода опасения.

Проблеме подвержены пакеты с Chromium 43 во всех дистрибутивах Linux. В Debian соответствующий пакет уже обновлён и загрузка модуля отключена. Для отключения дополнения рекомендуется удалить директорию

/Extensions/lccekmodgklaepjeofjdjpbminllajkg/

По словам разработчиков Chromium, указанное дополнение загружается лишь после включения пользователем голосового поиска в настройках браузера, а его отсутствие в списке установленных дополнений объясняется тем, что оно является «внутренним». Исходный код же не предоставляется, поскольку для распознавания речи применены алгоритмы, защищённые патентами. В знак доброй воли разработчики уже добавили флаг, указание которого при сборке отключает загрузку этого дополнения.

Впрочем, существуют свидетельства того, что проприетарное дополнение автоматически устанавливается даже при отключённом голосовом поиске.

>>> Подробности

anonymous

Проверено: fallout4all ()

nexe

Нехер пользоваться проприетарщиной.

anonymous ()

//Открыл chromium и сказал: «OK Google. F**k you Google».

te111011010 ()

Исходный код же не предоставляется, поскольку для распознавания речи применены алгоритмы, защищённые патентами.

Как раз патенты изначально придумывались для того, чтобы изобретатели раскрывали свои изобретения.

te111011010 ()

Мне вот интересно, неужели ещё остались люди, полагающие, что Гугл даёт им 10-гиговый почтовый ящик, 17-гиговое облако и голосовое управление исключительно из чистого альтруизма? Если вам дают бесплатное, то, скорее всего, товар - это вы.

Неужели кто-то всерьёз полагает, что безнаказанно имея возможность получать запись с микрофона непрерывно, Гугл не воспользуется этим? Вспомним их машинки Street View, которые несли на борту оборудование, составляющее карту Wi-Fi точек. И совершенно случайно это оборудование умело подключаться к незапароленным точкам и записывать траффик. И таки записывало. Объяснили технической ошибкой. Ну-ну

anonymous ()

Указанное расширение содержит внутри себя блоб (бинарный компонент)

Подозрительно.

Deathstalker ★★★★★ ()

пока остаётся неясным, как это упустил мейнтейнер соответствующего пакета

можно подумать, что таки вещи можно вот так просто обнаружить

естественно, проще всего сбросить вину на мейнтейнера, ага

reprimand ★★★ ()
Ответ на: комментарий от reprimand

естественно, проще всего сбросить вину на мейнтейнера, ага

Не знаю уж как в Debian, но в абсолютном большинстве дистрибутивов перед сопровождающим не стоит задачи аудита кода и отслеживания всех изменений. А уж с проектами размером с chromium это вообще очень затруднительно.

dinn ★★★★★ ()
Ответ на: комментарий от dinn

естественно, проще всего сбросить вину на мейнтейнера, ага

это же сарказм был :)

reprimand ★★★ ()
Ответ на: комментарий от reprimand

Я заметил, это скорее высказывание моего опыта как сопровождающего пакетов.

dinn ★★★★★ ()
Ответ на: комментарий от dinn

аа, тогда понял :)

моего опыта как сопровождающего пакетов

уважаю

reprimand ★★★ ()

/Extensions/lccekmodgklaepjeofjdjpbminllajkg/

Только у меня дежавю и воспоминания о следах в реестре всяких вирей?

ncrmnt ★★★ ()

А интересно, на неинтеловых машинках оно тоже загружается?

alt-x ★★★★★ ()

Как хорошо, что есть фирефокс!

anonymous ()

> Исходный код же не предоставляется, поскольку для распознавания речи применены алгоритмы, защищённые патентами

Недавно же была новость про «Опенсорсную разпознавалку голоса!!!», которая отправляет голос распознаваться на сервер Google. Зато опенсорсная. Можно и в Chromium так сделать!

ZenitharChampion ★★★★★ ()

Ой помню кто-то мне доказывал, что Chromium это версия Chrome без всякой проприетарщины и можно не опасаться, что за тобой следят. Где теперь эти наивные люди?

Folko85 ()

Так вот откуда экосистема такая странная у хромоподелок :}

Mystra_x64 ★★★★★ ()
Ответ на: комментарий от anonymous

Нехер пользоваться проприетарщиной.

Если Chromium — проприетарщина, то кто тогда опенсорс? :)

KRoN73 ★★★★★ ()

Если честно то это охрненеть. Больше даже не буду смотреть в сторону хрома. А то интересно получается, делаешь себе tor тот же самый, а оно один хрен уровнем выше следит за тобой, потенциально конечно.

Drolyk ★★★ ()
Ответ на: комментарий от KRoN73

Ну судя по тому что он после установки засасывает болб, то таки да, махровая проприетарщина. У вас ведь нет сомнений в том что таже nvidia делает проприетарный драйвер?

Drolyk ★★★ ()
Ответ на: комментарий от Drolyk

А зачем использовать тор с хромиумом, фф и иже с ним? Есть же elinks и другая маргинальщина для таких вещей.

einhander ()

Теги порадовали.

На самом деле, не ожидал такого от Chromium. От Google Chrome — да, но не от Chromium. Все больше портится отношение к нему.

Klymedy ★★★★★ ()

Слава BG, у меня IE.

anonymous ()
Ответ на: комментарий от einhander

Можно вообще копьютером не пользоваться, выкопать погреб и там жить

Drolyk ★★★ ()
Ответ на: комментарий от Klymedy

почему не ожидал? кучу лет назад хромиум подловили что сливает гуглю втихоря

anonymous ()
Ответ на: комментарий от Drolyk

можно пользоваться. накачать 100 тб контента, выкопать погреб и там жить.

anonymous ()

УМННР хотя была та самая версия хромиума. что нужно пропатчить что бы заработало?

exception13 ★★★★★ ()
Ответ на: комментарий от Drolyk

Ну судя по тому что он после установки засасывает болб, то таки да, махровая проприетарщина

У Вас какие-то странные понятия о проприетарщине.

У вас ведь нет сомнений в том что таже nvidia делает проприетарный драйвер?

Конечно нет. Он же не опенсорсный.

KRoN73 ★★★★★ ()

тэги доставили

(пользуюсь ff и абсолютно доволен)

I-Love-Microsoft ★★★★★ ()
Последнее исправление: I-Love-Microsoft (всего исправлений: 1)
Ответ на: комментарий от anonymous

чем это лучше чем тоже самое но за деньги?

anonymous ()
Ответ на: комментарий от Drolyk

у nvidia всё по чесноку, блобы не прячут. худшее из зол что добром прикидывается.

anonymous ()
Ответ на: комментарий от I-Love-Microsoft

пользуюсь ff и абсолютно доволен

и абсолютно наивен

anonymous ()
Ответ на: комментарий от ZenitharChampion

И постоянно слать поток с микрофона в сеть?

MrClon ★★★★★ ()
Ответ на: комментарий от einhander

подразумевалось, хуже, обшибся

anonymous ()
Ответ на: комментарий от anonymous

Не ожидал, потому что свободный. О том, что было кучу лет назад, видимо, не слышал.

Klymedy ★★★★★ ()

Хейтеры говорят «открытый код не нужен, туда что-то внедрят и никто не заметит». Вот заметили же, и без мейтейнера даже. И анонимус новость написал. Сила сообщества, фигли :)

goingUp ★★★★★ ()

Кстати, анон что, создал тег? Как?

Klymedy ★★★★★ ()

Меня новость не удивляет. А вот директория:

/Extensions/lccekmodgklaepjeofjdjpbminllajkg/

Напоминает случайные комбинации названий файлов всякой вирусятины и прочего, что символизирует

sehellion ★★★★ ()
Ответ на: комментарий от Klymedy

Разве? Кто-то в теме просил теги добавить. Уж не fallaut4all ли сделал это?

sehellion ★★★★ ()
Ответ на: комментарий от Klymedy

Тогда не знаю, я не такой продвинутый пользователь лора, только каменты писать могу

sehellion ★★★★ ()

Ничего нового. Google - компания созданная для реализации идеи тотального контроля над обществом а Chromium один из его анальных зондов.

mongo ()

/Extensions/lccekmodgklaepjeofjdjpbminllajkg/

Прекрасно, традиции названий папок и файлов троян-стайл должны жить вечно! «Гугль! Сохраним! Сбережем!»

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.