Ekstensi Color Picker Chrome dengan 400 Ribu Pengguna Ternyata Melacak Aktivitas Browsing

Ekstensi Color Picker Chrome dengan 400 Ribu Pengguna Ternyata Melacak Aktivitas Browsing

Ekstensi Chrome Pembantu Pemilihan Warna Ditemukan Mengumpulkan Data Pengguna

Ekstensi Chrome yang populer untuk membantu pengguna memilih warna dari halaman web, Color Picker – Eyedropper Tool, sedang menjadi sorotan setelah peneliti menemukan bahwa ekstensi ini diam-diam memperkenalkan fungsi pelacakan terenkripsi dalam pembaruan teranyarnya. Ekstensi yang telah diinstal lebih dari 400.000 pengguna ini kini tampaknya mengumpulkan data penelusuran dan menyembunyikannya sebelum dikirimkan.

Masalah ini pertama kali diungkap oleh peneliti dari Annex Security, “@tuckner”, yang membagikan analisis teknis di platform X setelah melihat perubahan pada versi 1.4.4 dari Color Picker. Dengan membandingkan pembaruan ini dengan rilis sebelumnya, versi 1.4.3, peneliti menemukan bahwa terdapat rutinitas enkripsi baru yang ditambahkan ke dalam service worker ekstensi, yang biasanya digunakan untuk mengatur tugas latar belakang.

Fungsi Enkripsi yang Mencurigakan

Menurut analisis tersebut, mekanisme enkripsi yang baru ditambahkan tampaknya tidak memiliki tujuan yang sah untuk alat yang hanya berfungsi mengekstrak nilai warna dari halaman web. Sebaliknya, mekanisme tersebut digunakan untuk menyembunyikan data yang mencakup URL yang dikunjungi dan informasi referer pengguna. Data terenkripsi tersebut kemudian dikirim ke endpoint jarak jauh yang terkait dengan domain colorspicker.net, pada path yang diberi label “/trendingSafe”.

Tuckner mencatat bahwa meskipun ekstensi ini mencoba untuk melegitimasi tindakan tersebut dengan menyertakan data warna CSS dalam payload yang dikirimkan, implementasinya terlihat sengaja dirancang untuk menyembunyikan aktivitas pelacakan yang lebih luas. Penggunaan enkripsi yang digambarkan secara sarkastis oleh sang peneliti sebagai “gaya bitcoin” membuat lebih sulit bagi pengguna dan analis untuk memeriksa informasi apa yang diambil.

Selain itu, ekstensi ini kini juga memperkenalkan prompt konsen saat diinstal atau diperbarui. Prompt ini meminta pengguna untuk menyetujui pengumpulan “data anonim (URL yang dikunjungi dan warna CSS)” yang diklaim bertujuan untuk mendukung fitur bernama “Trending Colors”. Namun, kata-kata dan penyajian dari prompt tersebut menimbulkan kekhawatiran bahwa pengguna bisa saja menyetujui permintaan tanpa memahami implikasinya sepenuhnya.

Sikap Google terhadap Isu ini

Color Picker – Eyedropper Tool dikenal sebagai ekstensi “Featured” di Chrome Web Store dengan rating tinggi 4,8 bintang, yang menunjukkan tingkat kepercayaan dan verifikasi dari Google. Dengan basis pengguna yang besar dan status yang diunggulkan, munculnya perilaku seperti ini sangat mengkhawatirkan, karena menunjukkan bagaimana bahkan ekstensi yang sering dipercaya bisa mengubah fungsionalitasnya dalam cara yang merusak privasi pengguna.

Hingga saat ini, Google belum mengeluarkan pernyataan publik mengenai temuan ini, dan ekstensi tersebut masih tersedia di Chrome Web Store.

Tren Penggunaan Ekstensi untuk Penambangan Data

Insiden ini menambah pola yang semakin berkembang dari ekstensi browser yang dimanfaatkan untuk pengumpulan data dan monetisasi setelah mendapatkan kepercayaan pengguna. Dalam kasus-kasus terbaru, ekstensi lainnya juga pernah terdeteksi menyuntikkan iklan, memindai add-on yang terpasang, atau mentransmisikan data pengguna tanpa pengungkapan yang jelas.

Pengguna yang telah menginstal Color Picker – Eyedropper Tool disarankan untuk mempertimbangkan untuk menghapus atau menonaktifkan ekstensi tersebut hingga ada kejelasan lebih lanjut. Sebagai langkah pencegahan umum, pengguna disarankan untuk memeriksa izin ekstensi dan pembaruan terbaru secara reguler, serta menghindari memberikan akses data yang tidak perlu, terutama riwayat penelusuran.

Untuk informasi lebih lanjut, simak berita terbaru seputar teknologi dan privasi pengguna yang mungkin menarik bagi Anda.

Leave a Reply

To top