Shtesat “e privatësisë” për shfletuesit kanë nën vëzhgim AI-në tuaj dhe regjistrojnë të gjitha bisedat tuaja
Bllokuesit e reklamave dhe VPN-të supozohet se mbrojnë privatësinë tuaj, por katër zgjerime të njohura të shfletuesve kanë bërë pikërisht të kundërtën. Sipas një hulumtimi nga Koi Security, këto shtesa të dëmshme kanë mbledhur tekstin e bisedave të chatbot-eve nga më shumë se 8 milionë njerëz dhe i kanë dërguar ato përsëri te zhvilluesit.
Katër zgjerimet që duken të dobishme janë Urban VPN Proxy, 1ClickVPN Proxy, Urban Browser Guard dhe Urban Ad Blocker. Ato shpërndahen nëpërmjet Chrome Web Store dhe shtesave Microsoft Edge, por përfshijnë kod të projektuar për të kapur dhe transmetuar ndërveprimet e bazuara në shfletues me mjete të njohura të inteligjencës artificiale.
“Urban VPN Proxy synon bisedat në dhjetë platforma të inteligjencës artificiale”, tha Idan Dardikman, bashkëthemelues dhe CTO i Koi, në një postim në blog të publikuar të hënën.
Firma kërkimore tha se platformat e synuara përfshijnë ChatGPT, Claude, Gemini, Microsoft Copilot, Perplexity, DeepSeek, Grok dhe Meta AI.
“Për secilën platformë, zgjerimi përfshin një skript të dedikuar ‘ekzekutues’ të projektuar për të kapur dhe kapur bisedat”, tha Dardikman, i cili shpjegoi se mbledhja e të dhënave aktivizohet si parazgjedhje përmes një flamuri konfigurimi të koduar. “Nuk ka asnjë buton që i drejtohet përdoruesit për ta çaktivizuar këtë. E vetmja mënyrë për të ndaluar mbledhjen e të dhënave është ta çinstaloni plotësisht zgjerimin.”
Sipas Dardikman, zgjerimi Urban VPN Proxy monitoron skedat e shfletuesit të përdoruesit dhe, kur përdoruesi viziton një nga platformat e synuara (p.sh., chatgpt.com), ai injekton skriptin “ekzekutues” në faqe.
“Pasi të injektohet, skripti mbivendos fetch() dhe XMLHttpRequest – API-të themelore të shfletuesit që trajtojnë të gjitha kërkesat e rrjetit,” shpjegoi ai. “Kjo është një teknikë agresive. Skripti mbështjell funksionet origjinale në mënyrë që çdo kërkesë dhe përgjigje rrjeti në atë faqe të kalojë së pari përmes kodit të zgjerimit.”
Skripti analizon përgjigjet e API-t të përgjuara dhe më pas i paketon dhe transmeton të dhënat nëpërmjet window.postMessage te skripti i përmbajtjes së zgjerimit , së bashku me identifikuesin PANELOS_MESSAGE. Skripti i përmbajtjes më pas ia kalon të dhënat një punonjësi shërbimi në sfond për t’i nxjerrë përmes rrjetit te pikat fundore në analytics.urban-vpn.com dhe stats.urban-vpn.com.
The Register kontaktoi Urban VPN, kompaninë e lidhur BiScience dhe 1ClickVPN në adresat e tyre përkatëse të email-it për privatësinë. Të tre kërkesat u refuzuan.
Duke iu referuar materialeve të mëparshme hetimore të publikuara nga studiuesi i sigurisë Wladimir Palant dhe John Tuckner i Secure Annex që detajon koleksionin e të dhënave të historikut të klikimeve/shfletimit nga BiScience, Dardikman tha se gjetjet e kompanisë së tij tregojnë se BiScience po zgjerohet në koleksionin e bisedave të inteligjencës artificiale.
Ai vëren se, ndërsa Urban VPN zbulon mbledhjen e të dhënave të IA-së gjatë njoftimit të konfigurimit dhe në politikën e saj të privatësisë , lista në Chrome Web Store tregon se të dhënat nuk u shiten palëve të treta jashtë rasteve të përdorimit të miratuara dhe se bisedat me IA nuk përmenden posaçërisht.
“Kërkesa për pëlqim e paraqet monitorimin e inteligjencës artificiale si mbrojtëse,” tha ai. “Politika e privatësisë zbulon se të dhënat shiten për marketing.” Ai shton se përdoruesit që instaluan Urban VPN para korrikut 2025 nuk do ta kishin parë kurrë kërkesën për pëlqim, e cila u shtua nëpërmjet një përditësimi të heshtur me versionin 5.5.0.
Ai gjithashtu argumenton se softueri nuk jep asnjë tregues se mbledhja e të dhënave ndodh edhe kur VPN nuk është aktive.
Dardikman vëren se Urban VPN mori një Distinktiv të Veçuar nga ekipi i Chrome Web Store.
“Kjo do të thotë që një njeri në Google shqyrtoi Urban VPN Proxy dhe arriti në përfundimin se ai i plotësonte standardet e tyre,” tha ai. “Ose shqyrtimi nuk shqyrtoi kodin që mbledh biseda nga produkti i inteligjencës artificiale i vetë Google (Gemini), ose e bëri dhe nuk e konsideroi këtë problem.”
Ai vëren se politikat e Chrome Web Store ndalojnë në mënyrë të qartë transferimin ose shitjen e të dhënave të përdoruesve te ndërmjetës të të dhënave të palëve të treta si BiScience.
Google nuk iu përgjigj menjëherë një kërkese për koment.
Problemi duket të jetë një boshllëk ligjor në politikën e Google Chrome Web Store për Përdorimin e Kufizuar, e cila lejon që të dhënat të transferohen te palët e treta për skenarë të kufizuar (p.sh., ndryshimi i sigurisë ose i pronësisë së biznesit) që nuk përfshijnë transferimin e të dhënave te ndërmjetësit e të dhënave.
Në postimin e tij, Palant sugjeron që BiScience dhe partnerët e saj të lidhur të zbatojnë veçori të drejtuara nga përdoruesi që pretendohet se kërkojnë qasje në historikun e shfletimit, për të pretenduar përjashtimin “e nevojshëm për të siguruar ose përmirësuar shërbimin tuaj të vetëm me qëllim” që lejon transferimin e kufizuar të të dhënave te palët e treta. Ose ata pretendojnë përjashtimin e sigurisë duke zbatuar veçori të shfletimit të sigurt ose bllokimit të reklamave.
“Duket se Chrome Web Store i interpreton politikat e tyre si lejuese të transferimit të të dhënave të përdoruesit, nëse zgjerimet pretendojnë përjashtime për Përdorim të Kufizuar përmes politikës së tyre të privatësisë ose zbulimeve të tjera të përdoruesit,” shkroi Palant. “Fatkeqësisht, aktorët keqdashës i pretendojnë në mënyrë të rreme këto përjashtime për t’ua shitur të dhënat e përdoruesit palëve të treta.”
“Nëse keni instaluar ndonjë nga këto shtesa, çinstalojini ato tani,” përfundoi Dardikman. “Supozoni se çdo bisedë me inteligjencë artificiale që keni pasur që nga korriku i vitit 2025 është kapur dhe ndarë me palë të treta.”