Драйвер графического планшета Wacom собирает данные об открытых пользователем приложениях и отправляет производителю
В январе 2020 года инженер-программист Роберт Хитон подключил свой графический планшет Wacom на новый макбук. В процессе установки нового драйвера для планшета ему было предложено принять политику конфиденциальности Wacom.
«Почему устройству, которое по сути является мышью, нужна политика конфиденциальности?» — такой вопрос задал себе инженер-программист Роберт Хитон. Он при обновлении драйвера графического планшета Wacom на своем Apple Mac заметил текст мелким шрифтом в политике конфиденциальности, принимая который Роберт фактически дал Wacom разрешение на слежку за его действиями, когда он работает с планшетом.
И вот после этого клика Роберт почувствовал себя недовольным таким отношением производителя к пользователям, в нем проснулся инженер-детектив. Роберт Хитон решил выяснить, какие данные собирает графический планшет Wacom и куда он их отсылает.
Предложенную на подписание политику конфиденциальности для драйвера планшета Wacom Роберт сохранил на GitHub на всякий случай, если производитель далее начнет менять свои правила. Камнем преткновения стал третий пункт этой политике конфиденциальности — в нем речь шла об автоматизированном сборе данных с пользовательских устройств с помощью Google Analytics. Заявленная в пункте 3.1 отправляемая драйвером планшета информация — это данные о времени использования планшета, конфигурация пользовательского оборудования и другие «совокупные данные об использовании», которые необходимы разработчикам.
Роберт погуглил «аналитика wacom google». Он нашел несколько публикаций в Twitter и Reddit, где пользователи также читали политику конфиденциальности Wacom и были недовольны ее содержанием, но никто еще не пытался выяснить, какие именно данные Wacom собирали. Никто не исследовал понимание компанией Wacom словосочетания «совокупные данные об использовании».
Чтобы увидеть, какой тип данных Wacom пытается получить с его макбука, Роберт решил с помощью Wireshark исследовать трафик, который драйвер планшета отправлял в Google Analytics.
Оказалось, что его макбук начал отправлять DNS-запросы на поиск IP-адреса www.google-analytics.com. Ответ DNS возвращался как 172.217.7.14, и некоторый объем трафика с TLS-шифрованием направлялся на этот IP-адрес. Планшет действительно передавал информацию о работе пользователя в Google Analytics. Только данные были зашифрованы.
Далее Роберт поменял тактику и поднял свой прокси-сервер, он использовал уже проверенное им ранее в других проектах решение Burp Suite. Он настроил глобальный прокси для HTTP и HTTPS своего макбука так, чтобы был использован его прокси-сервер на Burp Suite. Технически, планшет Wacom также должен был теперь отправлять весь трафик в Google Analytics через Burp Suite.
Но возникла проблема — драйвер планшета не завершал TLS-рукопожатие с его прокси-сервером на Burp Suite из-за отсутствия нужного и правильно пописанного сертификата. Тогда Роберт временно добавил сертификат Burp Suite в список корневых сертификатов своего макбука, использовав встроенное хранилище ключей OSX.
После этого действия Роберт начал ждать, какие данные появятся в Wireshark. Но ничего не происходило. Он рисовал планшетом, выключал и включал его. Все равно данных не было.
Тогда Роберт зашел в настройки драйвера Wacom и перезапустил драйвер. И только после этого действия в Wireshark появилась новая информация, которую передавал драйвер планшета в Google Analytics. Помимо данных о времени запуска и отключения драйвера, там были строки с записями информации о каждом открытом Роберте приложении на макбуке, включая время его запуска, строку с уникальным идентификатором и наименованием приложения.
Таким образом, Роберт выяснил, что Wacom под терминами «совокупные данные» и «информация о технических сеансах» понимает информацию о каждом приложении, которое пользователь запускает на своем компьютере. Хотя в политике конфиденциальности драйвера планшета Wacom про такие действия упоминания не было. «Кто же в здравом уме даст согласие регистрировать и отслеживать время, имя пользователя и каждое приложение, которое он открывает на своем персональном ноутбуке?» — очень удивился Роберт.
Если для обычных пользователей такие действия Wacom могут быть неприятны, но не критичны, то, например, для компаний-разработчиков игр это может быть критично. «Что, если сотрудник Wacom вдруг начнет видеть подобные записи для «Half Life 3 Test Build»? Очевидно, меня не волнует секретность новых игр Valve, но я предполагаю, что Valve в этом случае защищает своих разработчиков и дополнительно блокирует подобные передачи информации от графических планшетов». — резюмировал по этой ситуации Роберт.
Совет от Роберта пользователям планшетов Wacom: «Сбор и отправку этих данных можно запретить. Для этого нужно открыть Wacom Desktop Center, перейти в «Дополнительные параметры» и отказаться от участия в Wacom Experience Program. После обновления драйвера эта опция включится снова, поэтому отказываться придется каждый раз при установке новой версии драйвера».
Согласно информации независимого издания «Register», специалисты которого взяли интервью в Роберта Хитона, представитель Wacom отказался предоставить комментарии по этой проблеме.