Чували ли сте за приложението Superhuman? Зад това име като на супергерой в комикс филм всъщност се крие опасна програма, която позволява да шпионирате хората чрез техния имейл. Ето как работи новата коварна схема: ако изпратите имейл с това приложение, таксата за което е 30 долара на месец, а записването става само с покани, писмото автоматично следи получателя, записвайки всеки път, когато той го чете и дори ви показва локацията му. Това е така, защото Superhuman използва скрити пиксел тракери.

Но как е възможно?

Да започнем с нещо по-простичко. Знаете, че всяко изображение в мрежата всъщност се съхранява на някой сървър и компютърът ви автоматично го сваля, когато браузвате съответния сайт. Преди време обаче някой установил, че искането за зареждане на изображението, което вашето РС изпраща, може да позволи на същия сървър да следи дейността ви в мрежата - а когато става въпрос за имейл, отсрещната страна може да види кога сте отворили дадено съобщение само като вмъкне в него невинно изображение.

Цялата работа е забележително проста: когато отворите имейла, автоматично сваляте и това изображение и искането за него незабавно уведомява сървъра, че сте го отворили.

А що за чудо е това "пиксел тракер"?

Страницата на феномена в Wikipedia разкрива, че пиксел тракерите са известни под още доста имена, така че е възможно дори вече да сте се сблъсквали с тях, но да не го знаете. Ако сте срещнали термини като web beacons, web bugs, tracking bugs, web tags, page tags, pixel tags, 1 x 1 GIFs и clear GIFs, то всички те значат едно и също. В частност, когато става въпрос за имейли, концепцията е позната като "отворен тракинг" или дори "разписка за прочитане" (read receipt).

Но да знаете за това не означава, че може да го видите - поне не с просто око, защото един такъв проследяващ пиксел буквално може да бъде изображение с резолюция 1х1 пиксела, заринато някъде в имейл или интернет страница. На всичкото отгоре, ако изображението е безцветно или прозрачно, то на практика става невидимо. Накрая, то може да бъде дори вградено в лого в подписа на изпращача, който се появява при изпращане на имейл, или в някакъв по-атрактивен шрифт, който се използва. Де факто, всичко, което изпраща искане към отдалечен сървър, може да се използва като инструмент за проследяване.

Ако на свой ред препратите заразения имейл на някой друг, порочният кръг се разширява.

Добре, това нещо съществува от години. Защо хората започват да се притесняват за една стара технология сега?

Отчасти защото много потребители дори не осъзнават, че проследяващите пиксели съществуват. Отчасти защото един вече бивш вицепрезидент на Twitter написа пост по въпроса в блога си и той набра значително внимание в социалните мрежи.

Разбира се, някой ще побърза да възрази, че това да знаеш, че хората четат имейлите ти, не е лошо само по себе си. Та нали всички приложения за комуникации имат известие за получено и прочетено съобщение?! Да, тези известия биха били като проследяващите пиксели, стига те да не се опитваха да бъдат толкова подмолни. Както подателят, така и получателят могат ясно да видят дали техните собствени съобщения се четат, или игнорират. И ако изпращате текстови съобщения на приятел или роднина, може да сте в правата си, социално казано, да ги побутнете, ако не са отговорили за известно време.

Но при Superhuman и други подобни ние говорим за това, че напълно непознат може да ви изпрати електронна поща отвън и да ви принуди да разкриете местоположението си всеки път, когато четете този имейл, без да знаете. Изглежда лошо, нали?

Когато изтеглите този проследяващ пиксел от някой сървър, той записва вашия IP адрес, което е начинът, по който интернет знае къде е компютърът и физически, и цифрово. Често е възможно да определите точния адрес, като използвате само вашия IP адрес и най-малкото говорим за точност на ниво град. Това е доста зловещо.

Как може да се злоупотреби с това?

Класическият пример: ако някой знае кога си вкъщи и кога си далеч, грабежите стават малко по-лесни. Спамърите и измамниците могат да използват техниката, за да знаят кои заглавия на съобщения в електронната поща са ви накарали да кликнете. Има много уязвими хора, които просто не искат някой случаен човек в интернет да проследява техните ходове само чрез изпращане на имейли.

И това е, преди те да започнат да комбинират данни, свързвайки "кога" и "къде" с данни за това, върху което хората кликват, кои уебсайтове преглеждат - защото бисквитките на браузъра теоретично могат да предадат и вашия онлайн рекламен профил.

Звучи ужасно. Дали Superhuman е единственият експлойт, който позволява това?

За съжаление не. Сайтът Wired написа страхотна статия за проследяването на имейли още през 2017 г., като специално подчертава приложение, наречено Streak, което вече открито предлага проследяване почти шест години, а бързо търсене в мрежата за „проследяване на имейли“ показва, че Streak е само върхът на айсберга.

Това законно ли е?

Неясно е, но законите за защита на личните данни като GDPR сега изискват съгласие, преди да можете да събирате лични данни от гражданин на ЕС, а работните групи по изготвянето на GDPR смятат, че в резултат на това тайните пиксели за проследяване автоматично ще бъдат блокирани. Теоретично давате някаква форма на съгласие, когато се абонирате за бюлетин, но то може да зависи от това, върху което кликнете.

Приложението ми за електронна поща няма ли начин да блокира тези пиксели?

Имаме добри новини за потребителите на Gmail: Google пренасочва всяка заявка за изображения чрез собствените си прокси сървъри. Пикселите за проследяване ще знаят кога сте прочели имейл, но обикновено не могат да изчислят местоположението ви или да получат рекламния ви профил, тъй като не могат да виждат вашия IP адрес или „бисквитки“. (Вместо това виждат IP-то на Google.)

Можете също да изключите автоматичното зареждане на изображения в много имейл клиенти, но след това електронната ви поща няма да зарежда автоматично изображенията. Има и разширения за браузъри като Ugly Email и PixelBlock, които се опитват да уловят проследяващите пиксели, преди да отворите имейл, и да ги премахнат изцяло.

Адблокърите пък трябва да се настроят поотделно за всеки вид тракер, който искате да блокирате.

Защо големите браузърни компании толерират проследяващите пиксели, след като полагат усилия, за да се справят с досадните видеоклипове с автоматично пускане и несигурния Flash?

Вероятно защото големите уеб компании са използвали тези тракери в собствения си бизнес от години и никой не е направил достатъчно голям гаф. Имаме Facebook Pixel, Google Tag Manager и Amazon Pixel, въпреки че повечето от тях се използват в интернет, а не по имейл. От страна на електронната поща е изчислено, че лъвският дял от услугите за онлайн бюлетини (например MailChimp) имат основно проследяване по подразбиране. Пикселите за проследяване обикновено се считат за част от начина, по който се правят нещата, така както и проследяващите бисквитки, които водят запис на уеб сайтовете, които сте посетили.

Има ли „рецепта“ за това, как да се опазим? Истината е, че няма – затова винаги бъдете внимателни, не отваряйте подозрителни имейли, не посещавайте съмнителни и непознати сайтове и задължително инсталирайте добра антивирусна защита.