Παλαιότερες εκδόσεις του ενσωματωμένου browser για όλες τις Amazon συσκευές, με το όνομα Silk, ανάγκασε τους χρήστες να χρησιμοποιούν μια ανασφαλή έκδοση της Google για τις διαδικτυακές αναζητήσεις τους, αν οι χρήστες είχαν εγκατεστημένη τη Google μηχανή αναζήτησης στον browser τους.
Το Silk είναι ένας Chromium-based Web browser που έρχεται μαζί με το Amazon Kindle και τις Fire συσκευές. Από προεπιλογή, ο browser έρχεται με τη Google ως την κύρια υπηρεσία παροχής αναζήτησης, αλλά οι χρήστες μπορούν να επιλέξουν και μεταξύ Bing και Yahoo, εάν το επιθυμούν.
Σε παλαιότερες εκδόσεις πριν από την v51.2.1, ο Silk browser έστελνε τις αναζητήσεις των χρηστών στη Google μέσω HTTP αντί HTTPS, και επιπλέον απέτρεπε την αυτόματη ανακατεύθυνση στην έκδοση HTTPS του site, όταν οι χρήστες αποκτούσαν πρόσβαση στην HTTP έκδοση της Google.
Μπορεί η αποστολή των Google queries από το πρόγραμμα περιήγησης στους Google διακομιστές μπορεί να φαίνεται σαν μια απροσεξία του προγραμματιστή, ωστόσο το δεύτερο σφάλμα ήταν πιο ανησυχητικό.
Από προεπιλογή, η Google ανακατευθύνει αυτόματα όλους τους χρήστες από την HTTP έκδοση του site της στην HTTPS έκδοση. Η Google χειρίζεται αυτήν την ανακατεύθυνση, και μόνο κάποιο σοβαρό τεχνικό πρόβλημα από την πλευρά του χρήστη, θα είχε αποτρέψει αυτή τη διαδικασία.
Οι ερευνητές ασφαλείας από Nightwatch Cybersecurity, που ανακάλυψαν τα θέματα, δήλωσαν ότι η πρόσβαση σε μεταφρασμένες εκδόσεις της μηχανής αναζήτησης, όπως Google.es ή Google.jp μέσω HTTP θα τους ανακατευθύνει πράγματι στην HTTPS έκδοση.
Αυτό σημαίνει ότι δεν υπήρχε τεχνική δυσκολία, όταν ξεκίνησε να δουλεύει το SSL στον browser και ότι το HTTPS μπλοκάρισμα για το Google.com δεν ήταν αποτέλεσμα ενός γενικού σφάλματος.
Το πρόβλημα με αυτή τη συμπεριφορά είναι ότι εκθέτει τις Google αναζητήσεις του χρήστη σε όποιον «ακούει» την Web κυκλοφορία του χρήστη, διότι όλα τα δεδομένα αποστέλλονται ως απλό κείμενο.
Οι Google αναζητήσεις ενός χρήστη συχνά χρησιμοποιούνται για να συλλεχθούν πληροφορίες για ένα άτομο και είναι ένας θησαυρός πληροφοριών για τους διαφημιστές. Ακόμη και η ίδια η Google χρησιμοποιεί αυτά τα δεδομένα για διαφήμιση.
Οι ερευνητές ενημέρωσαν την Amazon, η οποία διόρθωσε το ζήτημα στο Silk browser v51.2.1. “Εκτός από μια γενική απάντηση που λάβαμε αρχικά, δεν υπήρξε καμία περαιτέρω επικοινωνία από τον πωλητή”, σημείωσε η Nightwatch ομάδα στο blog της, αποκαλύπτοντας ότι η Amazon δεν είχε μπει στον κόπο να εξηγήσει γιατί αυτό το παράξενο θέμα συνέβαινε.
Η Amazon γνωρίζει πολύ καλά από διαμάζες. Ο ίδιος ο Silk browser είχε εγείρει πολλές ανησυχίες προστασίας της ιδιωτικής ζωής, όταν ξεκίνησε το 2011, επειδή χρησιμοποιεί την έννοια του cloud-based Web browsing, όπου όλα τα δεδομένα που αποστέλλονται στην υπηρεσία EC2 της Amazon για επεξεργασία και στη συνέχεια αποστέλλονται στη συσκευή του χρήστη.
Η Amazon είπε ότι αυτό έγινε για να εξοικονομήσει ενέργεια στη συσκευή, αναθέτοντας εξωτερικά εργασίες που είναι βαριές για τη CPU (όπως η JavaScript) στους ισχυρούς cloud υπολογιστές που απλά εμφανίζουν την τελική ιστοσελίδα στο τέλος. Από τότε η έννοια του cloud browser έχει εξαπλωθεί και σε άλλες εταιρείες, καθώς, όπως την Opera.
