Korzystasz z przeglądarki Brave, być może na twoim urządzeniu zainstalowane zostały usługi VPN.
Jeden z użytkowników przeglądarki kilka dni temu, zauważył, że na jego komputerze w sposób automatyczny zostały zainstalowane nowe usługi.
Brave VPN Service
Brave VPN Wireguard Service
Problem polega na tym, że użytkownik ten nie korzystał z usługi VPN, a jedynie z przeglądarki Brave. Sam proces instalacji odbywał się bez informowania użytkownika oraz z pominięciem zapytania o zgodę.
Warto jednak zaznaczyć, że usługi mimo automatycznej instalacji, do działania wymagały ręcznej aktywacji.
“Obie te usługi są ustawione na Manual, co oznacza, że nigdy same się nie uruchomią. Włączą się tylko wtedy, gdy osoba korzystająca z Brave zakupi Brave VPN i połączy się z serwerem. Ktoś może spróbować wywołać services.msc w systemie Windows i ręcznie uruchomić usługę – ale to nic nie da. Ważne jest, aby zaznaczyć, że żadne informacje identyfikujące nie są wysyłane, gdy klient Brave VPN korzysta z produktu VPN.”
Brave VPN jest usługą zintegrowaną z przeglądarką, stworzoną we współpracy firmy Brave Browser i Guardian (firmą obsługującą VPN). Za miesięczną opłatą w wysokości 9,99$, umożliwia podłączenie do sieci serwerów Guardian.
O ile instalacja usługi w przypadku użytkowników VPN, nie byłaby niczym zaskakującym, to instalacja usługi wszystkim użytkownikom przeglądarki, jest poważnym naruszeniem zasad bezpieczeństwa.
Zbędne nieaktywne usługi, narażają użytkowników na niepotrzebne niebezpieczeństwo wynikające z możliwych błędów w kodzie, łamią również niepisane zasady transparentności, w których to użytkownik decyduje o tym co znajduje się na jego urządzeniu, w szczególności jeżeli usługi pochodzą częściowo z innej firmy niż przeglądarka.
Tego typu aplikacje uznawane mogą być za tak zwany bloatware lub PUP, czyli oprogramowanie potencjalnie niepożądane przez użytkownika, często instalowane bez wiedzy lub z wykorzystaniem podstępu.
Dlaczego brave zdecydował się na ten ruch?
Jak możemy przeczytać w serwisie reddit od członka zespołu Brave, usługi te zostały zainstalowane podczas aktualizacji, gdyż wymagały dostępu do uprawnień administratora, który to jest udzielany przy okazji aktualizacji. (?)
Firma zdecydowała się również naprawić błąd, i zrezygnować z automatycznego instalowania usługi, zamiast tego instalować ją dopiero w momencie gdy użytkownik wykupi usługę VPN.
Brave nie jest pierwszą przeglądarką, która popełniła ten błąd.
Kilka lat temu twórcy przeglądarki Firefox zdecydowali się na automatyczną instalację rozszerzenia, „Looking Glass” u niektórych użytkowników.
Rozszerzenie nie dość, że zostało zainstalowane bez zgody użytkowników, posiadało niepokojący opis wywołujący konsternację.
Instalacja rozszerzenia wynikała ze współpracy reklamowej Mozilli i serialu Mr Robot.
Rozszerzenie to odwracało tekst, który pasuje do listy słów kluczowych związanych z Mr. Robot, takich jak „fsociety”, „robot”, „undo” i „fuck”, a także między innymi dodawało nagłówek HTTP do niektórych odwiedzanych witryn. Co w połączeniu z brakiem zgody użytkowników wywołało małą aferę.
Źródła:
https://discuss.privacyguides.net/t/brave-browser-installing-vpn-services-on-windows/14450?u=jonah
https://www.ghacks.net/2023/10/18/brave-is-installing-vpn-services-without-user-consent/
https://support.mozilla.org/en-US/kb/lookingglass
Comment
byu/sad_consumer_now from discussion
inbrave_browser