Яндекс.Бар – Большой брат следит за тобой

Возвращаясь к обсуждению инцидента, связанного с утечкой более 8 тысяч смс сообщений сотового оператора «Мегафон», можно утверждать, что выдвинутые предположения ранее полностью подтвердились. Утечка произошла в следствии двух факторов: уязвимости на сайте www.sendsms.megafon.ru и передачи посещаемых страниц пользователями поисковой системе Яндекс, на компьютерах которых установлен Яндекс.Бар.

Так что-же из себя представляет Яндекс.Бар?

Это панель для браузера Internet Explorer с возможностью поиска по интернету и быстрым доступом к различным интернет-сервисам, как утверждает сам производитель. Хорошо, устанавливаем это волшебное чудо к себе на компьютер, и, не пользуясь его функциями, начинаем обычный серфинг по Интернету. Первый же запрос дублируется на хост bar-navig.yandex.ru:


Собственно, таким же образом, уникальные страницы сайта www.sendsms.megafon.ru, содержащие конфиденциальную информацию самых обычных пользователей и просочились в паблик…

Идем дальше. Обращаемся к внутреннему ресурсу:

(интересно, куда ушел мой секретный логин и пароль??)

Попутно встречаем другие «полезные» функции Яндекс.Бара:

Это прямо праздник (читай spyware) какой-то! Но, обратимся к лицензионному соглашению, которое где-то с краю весело при установке Яндекс.Бара. Нас интересует 5 раздел «Условия использования отдельных функций Программы»:

5.1. Пользователь настоящим уведомлен и соглашается, что при включении в Программе функции показа «Индекса Цитирования» для определения индекса цитирования сайта в интернете, который посещает Пользователь во время использования Программы, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о посещаемом сайте, до момента отключения указанной функции.
5.2. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции показа «Отзывов» для определения количества отзывов на просматриваемую Пользователем во время использования Программы страницу в интернете, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о просматриваемой странице, до момента отключения указанной функции.
5.3. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции «Точно по адресу» для предоставления Пользователю подсказок с исправленными ошибками ввода, Правообладателю в автоматическом режиме сообщается анонимная (без привязки к Пользователю) информация о символах, введенных в адресную строку браузера, до момента отключения указанной функции.
5.4. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции «Проверка орфографии» для проверки орфографии текстов в версии программы для Internet Explorer, все тексты, вводимые Пользователем в браузере во время использования Программы, исключая тексты, вводимые в формы ввода паролей, будут анонимно (без привязки к Пользователю) отправляться на автоматизированный сервис проверки орфографии Правообладателя. Исключительное право на словарные базы ОРФО (СБ ОРФО) для русского и украинского языков, используемые в сервисе проверки орфографии, принадлежат компании Информатик: СБ ОРФО © ОРФО™, ООО «Информатик», 2009.
5.5. Пользователь настоящим уведомлен и соглашается, что, при использовании в Программе функции «Перевод слов», перевод слов осуществляется с использованием технологий, разработанных компанией ПРОМТ (http://www.promt.ru). Логи переводов будут анонимно (без привязки к Пользователю) направляться Правообладателю.
5.6. Пользователь настоящим уведомлен и соглашается, что при использовании в Программе функции «Определение местоположения», IP-адрес компьютера Пользователя и данные о доступных Wi-FI сетях будут анонимно (без привязки к Пользователю) отправляться на автоматизированный сервис определения местоположения партнера Правообладателя.
5.7. Пользователь может в любой момент отказаться от передачи данных, указанных в п.п. 5.1. – 5.6., отключив соответствующие функции.

Так вот оно как! Оказывается я с этим согласился Но в отличии, например, от iPad, который после установки нового ПО обязательно спросит, а желаю ли я, чтобы ПО использовало мое текущее месторасположение и пр., Яндекс.Бар просто решил эти вопросы за меня.

Итак, я не согласен с 5.1. – 5.6 и хочу отключить соответствующий функционал. Лезем в настройки панели Яндекс.Бар и что мы видим? Да ровным счетом ни одного крыжика с именем «отключить» там нет.


Так как же отключить spyware функционал? Оказывается, отключение функций и вывод иконок на панель Яндекс.Бар это одно и тоже. (интуитивно понятно)

Мораль сей басни такова, не устанавливайте к себе на компьютер ничего лишнего, а если устанавливаете новый софт, не поленитесь и изучите лицензионное соглашение. В противном случае, ваша личная жизнь может оказаться достоянием общественности, как у этих счастливчиков – http://mega-sms.ru

P.S. Используйте Фаерфокс! Он плохого не посоветует!

20 июля 2011, 16:00
http://habrahabr.ru/blogs/infosecurity/124538/​

 

красава. но это уже было известно что бар передает данные о страницах и все же спасибо

 

вот оно зло - IE и разные тулбарчики !!! =)
PS говорят гугл хром тоже вроде передаёт инфу - так или нет ?

 

Конечно же так,для таргетинга.

 

у меня почти так.

 

наркоман

 

ага, такая же тема как и с яшиным "пунто-свитчером".

 

реал, нарик...

 

Ничто не делаеться просто так (с)

 

Хорошая статья, всегда при установке софта, идут дополнения - бары, всю жизнь снимал с них галочки.

 

Мде, не зря я бар то не устанавливаю. Яндекс уже не большой, а огромный брат, punto switcher хорошо наши пароли отправляет.
Кстати напомните где находится статья на хабре о том что пунто крадет инфу.

 

Классная статья,спасибо.