Хватит за мной следить! Тестируем мобильные браузеры на Android с защитой от отслеживания

Хватит за мной следить! Тестируем мобильные браузеры на Android с защитой от отслеживания

https://t.me/darknet_black

Представь себе картину: май, ты приходишь в супермаркет и покупаешь грабли. Через неделю снова заходишь, и навстречу выбегает орава продавцов-консультантов, наперебой предлагая купить различные виды граблей. Наиболее продвинутые из них пытаются втюхать тебе тяпки, а некоторые даже лопаты. И никакие твои объяснения, что весь инвентарь у тебя остался с прошлого сезона и на самом деле ты зашел купить газонокосилку, не работают.

Ты кое-как отбиваешься от консультантов, прокладывая себе дорогу с помощью лопаты, которую они таки сумели тебе всучить, и уходишь. Но по пути домой замечаешь на заборе рекламный плакат, который сообщает, что все владельцы грабель, купленных на прошлой неделе в три часа дня, и лопат, купленных сегодня в 5:40, получают скидку на оптовую партию семян редиса, продажей которого занимается компания из соседнего города.


Именно так работает таргетированная реклама и трекинг пользователей на веб-сайтах. Ты заходишь на сайт, он присваивает тебе идентификатор и начинает отслеживать твои действия. Если эта система действует только в рамках одного веб-сайта — ничего страшного. Но существует масса контор (в основном, но не только рекламных сетей), которые могут проследить твои перемещения по многим сайтам и составить целую карту твоих сетевых похождений и интересов.

Кроме конфиденциальности, также страдает и скорость. Каждый трекинг-скрипт, размещенный на сайте, замедляет загрузку веб-страницы, а когда их много — такое замедление становится заметным даже невооруженным глазом. Некоторое время назад разработчики Mozilla протестировали скорость загрузки сайтов с включенным режимом защиты и без него и выяснили, что среднее время загрузки страницы в режиме защиты от трекинга сократилось на 44%. На мобильных устройствах блокировка трекинга дает и другой плюс: меньшее количество получаемых данных.

Методы отслеживания (трекинга) пользователей

В этой статье мы рассмотрим, как бороться с трекингом, но для начала разберемся, как он работает. Трекинг — это отслеживание пользователя с помощью различных техник идентификации браузера. Существует как минимум пять техник: Cookie, Evercookie, fingerprinting, IP, поведенческий анализ.


Самый древний и самый интеллигентный способ отслеживания. Печеньки как раз и были разработаны для идентификации пользователя. Принцип работы очень прост: пользователь открывает сайт, тот запрашивает информацию из cookie, если информации нет, сайт решает, что пользователь на сайте впервые, генерирует уникальный идентификатор и записывает его (с некоторой дополнительной информацией о пользователе) в cookie.

Теперь (в теории) при следующих визитах сайт сможет распознать пользователя по уникальному идентификатору, который был записан в cookie-файлы на его компьютере. Понятное дело, что после очистки всех cookie-файлов юзер становится анонимным абсолютно для всех сайтов. Однако, кроме HTTP Cookie, также существуют Flash Cookie и Silverlight Cookie. И очищать их нужно отдельно.


Evercookie

Данный вид трекинга можно смело именовать «проектом деанонимизации интернета». Он сохраняет идентификатор пользователя везде, где это возможно. Используются как стандартные хранилища: HTTP, Flash, Silverlight Cookie, так и различные трюки вроде PNG Cookies (сервер отдает браузеру индивидуальную картинку с записанным в нее идентификатором, она попадает в кеш браузера, и при последующем визите пользователя сайт вставляет картинку в canvas и считывает записанную в нее информацию), а также хранилища HTML5 (Session Storage, Local Storage, Global Storage, Database Storage через SQLite и так далее), журнал посещенных веб-страниц (только для старых браузеров), ETag header, java persistence API. Все, что возможно использовать, используется.

Удалить Evercookie очень сложно. Однако есть у него один недостаток — так же как и в случае с кукисами, данные сохраняются на жесткий диск (или NAND-память телефона). А это значит, что обычный режим инкогнито неуязвим перед Evercookie.


Отпечаток браузера

В этом случае пользователя распознают, считывая данные о браузере, его настройках и устройстве, с которого юзер заходит на сайт. Много ли этих данных? Да, очень много. Самые простые: user agent (название, версия и разрядность браузера и ОС, тип устройства, на котором установлен браузер, поддерживаемые браузером функции и прочее), язык браузера, часовой пояс, разрешение экрана, глубина цвета, поддержка технологий HTML5 (привет, любители копаться в скрытых настройках браузера), наличие doNotTrack, cpuClass, platform, установленные плагины и информация о них, шрифты, доступные в системе.

Также используются и различные хитрые техники: Canvas Fingerprint, WebGL Fingerprint, WebRTC Fingerprinting. По утверждению создателей скриптов, вероятность распознавания уже сейчас превышает 90%. А в некоторых случаях составляет 99,(9)% (не так уж и много людей любят ставить Canary-версию Google Chrome и копаться в настройках chrome://flags для активации новых фишек HTML5). Недостаток технологии: на практике распознавание не может быть стопроцентным, потому что основано на статистических данных и вероятность ошибки будет всегда.


Отслеживание по IP

Используя твой IP-адрес, можно узнать местоположение (часто с ошибкой) и имя провайдера. Однако из-за периодической смены IP как в проводных, так и в беспроводных сетях, этот метод крайне ненадежный и на практике используется только для приблизительного определения местоположения.

Поведенческий анализ

Идентификация на основе индивидуальных особенностей поведения и вкусов пользователя: скорости движения мыши, любимых фильтров поиска, предпочитаемых товаров, скорости просмотра картинок, частоты кликов и так далее. Недостатки очевидны: для отслеживания действий нужно использовать тяжеловесные скрипты, которые будут не только нагружать канал, но и тормозить компьютеры. Точность распознавания слишком плавающая и слишком сильно зависит от различных факторов.


Как браузеры борются с отслеживанием

Как видишь, есть только два надежных метода идентифицировать пользователя: Cookie и Evercookie. Чтобы защититься от них, достаточно ходить на все сайты в режиме инкогнито, который есть практически в любом современном браузере. Но тогда ты столкнешься с другой проблемой: кроме отслеживания, печеньки применяются и для многих других полезных задач. Например, для хранения токена авторизации, который позволяет не вводить свои логин и пароль при каждом входе на сайт. На трафике и скорости загрузки страниц с помощью инкогнито тоже сэкономить не получится.

Браузеры с защитой от отслеживания работают по-другому: они используют черные списки трекинг-скриптов (вроде таких) и просто блокируют их исполнение.

В большинстве браузеров для анонимного серфинга (Firefox Focus, Yo Browser, InBrowser, Ghostery, Cliqz и в некоторых обычных браузерах) также есть возможность автоматической очистки приватных данных при выходе. Для смартфона такой очистки вполне хватит, чтобы справится с Evercookie.

С отпечатком браузера дела обстоят сложнее, потому что большинство сведений браузер передает не от желания рассказать о себе побольше, а для того, чтобы веб-страница отображалась правильно. Как вариант защиты — браузер может отправлять сведения о себе, которые будут похожи на максимальное количество других браузеров.


Тестовый стенд

Для теста браузера был использован смартфон Samsung Galaxy S7 и следующие страницы:


Brave

«Brave выполняет миссию по исправлению сети, предоставляя пользователям более безопасный, быстрый и удобный опыт использования с помощью новой привлекательной экосистемы вознаграждения. Brave — это больше чем браузер, это новый способ мышления о том, как работает интернет».

После таких громких высказываний ждешь чего-то особенного, однако спустя пару минут после установки браузера понимаешь, что тут не так. Браузер представляет собой Chromium с функциями блокировки рекламы и предотвращения отслеживания с возможностью включать/отключать блокировку для отдельно взятого сайта.

Основное отличие от Chrome — нет новостей на главной странице и режима экономии трафика.


  • Страница в Google Play
  • Движок: Blink
  • Потребление ПЗУ (без учета данных приложения): 108 Мбайт
  • Потребление ОЗУ (открыта только домашняя страница): 130 Мбайт
  • Потребление ОЗУ (открыто пять тестовых сайтов): 372 Мбайт
  • Количество заблокированных трекеров (для пяти тестовых сайтов): 29



Iron Browser

Браузер, разрабатываемый немецкой компанией SRWare на основе исходного кода проекта Chromium. Появился он в противовес браузеру Google Chrome, который отслеживает действия пользователя. По заверению создателей, SRWare Iron не делает ничего подобного. Также Iron использует последние версии WebKit и V8, в то время как Google Chrome базируется на стабильных версиях.

Похож на Chrome как две капли воды. В отличие от Brave, осталась интеграция с Google, экономия трафика и лента новостей (рекомендуемые статьи) на главном экране. Производителем заявлена защита от отслеживания, только вот настроить ее нельзя.


  • Страница в Google Play
  • Движок: Blink
  • Потребление ПЗУ (без учета данных приложения): 98,71 Мбайт
  • Потребление ОЗУ (открыта только домашняя страница): 152 Мбайт
  • Потребление ОЗУ (открыто пять тестовых сайтов): 440 Мбайт
  • Количество заблокированных трекеров (для пяти тестовых сайтов): неизвестно


Firefox Focus

Это очень простой браузер без лишних функций. О приватности браузера напоминает кнопочка корзины, которая отображается на любой странице при прокрутке вверх. После нажатия на кнопку корзины вся история браузера и сохраненные данные очищаются. Также кнопка очищения истории есть в шторке с уведомлениями.

Браузер умеет блокировать трекеры рекламы и аналитики, социальные трекеры и другие. Есть режим «Невидимка» — функция блокировки скриншотов, которая закрывает доступ к содержимому окна браузера. Из-за этого даже анимация выключения экрана не работает. Зато невозможно перехватить содержимое, отображаемое на дисплее.

В отличие от конкурентов, Firefox Focus не скрывает свои черные списки, через которые он блокирует трекеры. Подробная информация.


  • Страница в Google Play
  • Движок: Blink (в просторах интернета есть версия на движке Gecko)
  • Потребление ПЗУ (без учета данных приложения): 6,96 Мбайт
  • Потребление ОЗУ (открыта только домашняя страница): 44,1 Мбайт
  • Потребление ОЗУ (открыт один тестовый сайт): 65 Мбайт (поддержка вкладок отсутствует, была открыта наша статья про мобильный mesh)
  • Количество заблокированных трекеров (для пяти тестовых сайтов): 43


Yo Browser

В описании на Play Market голимая реклама и ничего конкретного, а официальный сайт находится в разработке. Вполне можно было пройти мимо, но заявление «Yo Browser обеспечивает не только легкое пользование интернетом, но и вашу конфиденциальность и безопасность» таки заставило нас включить этот браузер в тест.

В браузере есть интересная функция быстрого открытия режима инкогнито: после нажатия ссылки всплывает предложение выбрать, в каком режиме ее открыть, обычном или инкогнито. При выходе предлагает почистить кеш, cookie, историю. Можно включить автоочистку при выходе.

Есть ночной режим, благодаря которому фон и некоторые элементы большинства сайтов окрашиваются в черный цвет, а также встроенный сканер QR-кодов. Можно заблокировать отображение изображений и рекламы. Также есть возможность отключить JavaScript и Cookies.


  • Страница в Google Play
  • Движок: Blink
  • Потребление ПЗУ (без учета данных приложения): 18,99 Мбайт
  • Потребление ОЗУ (открыта только домашняя страница): 117 Мбайт
  • Потребление ОЗУ (открыто пять тестовых сайтов) 250 Мбайт
  • Количество заблокированных трекеров (для пяти тестовых сайтов): в браузере нет индикатора


InBrowser

«InBrowser — это инкогнито-браузер. Каждый раз, когда вы выходите из InBrowser, все, что вы сделали в приложении, будет стерто, включая историю, файлы cookie и сеансы». То есть разработчики как бы говорят: это не столько отдельный браузер, сколько режим инкогнито, выделенный в отдельное приложение. Прямой конкурент Firefox Focus.

В целом браузер производит странное впечатление, однако по функциональности он лучший среди компактных браузеров с защитой от отслеживания. Он умеет интегрироваться с Orbot (для создания соединения с интернетом через сеть Tor без VPN), менять user agent (на выбор доступны Chrome, Firefox, Internet Explorer, Safari). Имеется «безопасный режим» — блокировка скриншотов и защита от отображения в списке последних приложений стандартными средствами Android.


Из дополнительной функциональности:

  • «переформатирование текста» — перестройка десктопной версии
    сайта под мобильные экраны, работает она не всегда корректно, но свою
    функцию выполняет;
  • отключение загрузки изображений;
  • запрет исполнения JavaScript и плагинов, если таковые установлены в системе.

  • Страница в Google Play
  • Движок: Blink
  • Потребление ПЗУ (без учета данных приложения): 6,51 Мбайт
  • Потребление ОЗУ: зафиксировать не удалось, так как приложение автоматически выгружается из памяти
  • Количество заблокированных трекеров (для пяти тестовых сайтов): в браузере нет индикатора


Ghostery

«Ghostery выявляет и блокирует системы слежения в Сети, защищая ваши данные, ускоряя загрузку страниц и убирая отвлекающие элементы». В общем, обычный браузер с блокировкой рекламы и трекеров. По словам разработчиков, блокировка очень продвинутая, но чем она продвинута — никто не поясняет.

Так же как и многие другие браузеры, умеет очищать все приватные данные при выходе. Для активации функции нужно перейти в «Настройки -> Очищать при выходе» и поставить все галочки. Загрузка вкладок в фоне глючит: если, не дождавшись загрузки страницы, открыть новую вкладку, а в ней открыть новый адрес, то загрузка первоначальной страницы остановится.


  • Страница в Google Play
  • Движок: Blink
  • Потребление ПЗУ (без учета данных приложения): 6,07 Мбайт
  • Потребление ОЗУ (открыта только домашняя страница): 185 Мбайт
  • Потребление ОЗУ (открыто пять тестовых сайтов): 317 Мбайт
  • Количество заблокированных трекеров (для пяти тестовых сайтов): 16


Cliqz

Еще один вполне стандартный браузер с защитой от отслеживания на движке Chromium. Отличается только тем, что сам собирает статистику использования для «улучшения релевантности результатов поиска и обеспечения работы самых продвинутых функций защиты приватности».

Поддерживает синхронизацию с десктопным браузером Cliqz, имеет встроенный сканер QR-кодов. Также в настройках можно включить автоматическую очистку кеша, истории, cookie и других личных данных после закрытия приложения (Settings -> Privacy -> галочки внизу списка).


  • Страница в Google Play
  • Движок: Blink
  • Потребление ПЗУ (без учета данных приложения): 34,81 Мбайт
  • Потребление ОЗУ (открыта только домашняя страница): 198 Мбайт
  • Потребление ОЗУ (открыто пять тестовых сайтов): 327 Мбайт
  • Количество заблокированных трекеров (для пяти тестовых сайтов): 12

 

Яндекс.Браузер с расширением Disconnect

Браузер «Яндекс» не умеет блокировать трекеры самостоятельно, зато имеет поддержку расширений, благодаря которой в него можно добавить расширение Disconnect. Рассказывать тут особо не о чем: и браузер, и Disconnect — известные продукты, о которых написано множество обзоров.

  • Страница для загрузки и Disconnect
  • Движок: Blink
  • Потребление ПЗУ (без учета данных приложения): 80,61 Мбайт
  • Потребление ОЗУ (открыта только домашняя страница): 288 Мбайт
  • Потребление ОЗУ (открыто пять тестовых сайтов): 540 Мбайт
  • Количество заблокированных трекеров (для пяти тестовых сайтов): 25

 

Про скорость работы

На Galaxy S7 все рассмотренные браузеры работают настолько быстро, что отличия в скорости работы обнаружить невооруженным взглядом очень сложно (если они вообще есть…). Проблем с отображением веб-страниц также замечено не было.


Выводы: что выбрать?

Какой же браузер выбрать? Все зависит от предпочтений, но мы рекомендуем остановиться либо на Firefox Focus, либо на браузере «Яндекс» + Disconnect. Первый не поддерживает вкладки и по большому счету вообще не похож на полноценный браузер, зато его делает контора, которой можно доверять. Второй — это действительно неплохой браузер. Расширение Disconnect также хорошо известно и заслуживает доверия.


Источник: Xakep.ru