Из расширения для браузеров «Amazon 1Button», которое дает пользователям быстрый доступ к интернет-магазину Amazon, персональная информация льется как через дуршлаг, как передают исследователи безопасности.

Кшиштоф Котович, исследователь, специализирующийся в Веб-безопасности, говорит, что приложение запоминает все URL, даже закодированные HTTPS-сессии, по которым посещают Amazon. Оно добавляет скрипт к каждому посещаемому вами сайту, и передает Alexa каждое ваше действие.

«Расширение для Google Chrome очень подозрительно», сказал Котович, «так как требует от пользователя разрешения для приложения получать данные обо всех посещаемых сайтах, смотреть и изменять закладки, обнаруживать его местонахождение, получать доступ к активности его браузера, управлять приложениями, расширениями и темами, и получать данные из буфера обмена. У этого приложения уже около двух миллионов пользователей».

Анализируя нарушения приватности в приложении, Котович также нашел противоречия в политике конфиденциальности Amazon, где указано, что любая собранная информация активности браузера не ассоциируется с аккаунтом пользователя на Amazon.

Alexa это аналитическая служба, которая следит за производительностью самых популярных сайтов. Информация, которую Amazon 1Button посылала в Alexa, содержала не только URL, но и поисковые запросы в Google, даже посланные через HTTPS. Котович обнаружил, что информация о URL и странице посылается в текстовом виде через HTTP на widgets[.]alexa[.]com.