Forrige uke postet utvikleren Luca Casonato en melding på X der han gjorde oppmerksom på at Google Chrome har et innebygget nettlesertillegg som kan gi Google detaljert statistikk om nettleserens CPU-, GPU- og minnebruk, skriver The Register.
Innlegget gikk viralt og har fått over 2,4 millioner visninger.
Problemet er ikke nødvendigvis at nettleseren på noen som helst måte sporer brukerne – for informasjonen brukes bare til måling av ytelse.
Casanato mener imidlertid det er et problem at det utelukkende er Googles egne nettsteder som får tilgang til statistikken.
So, Google Chrome gives all *.google.com sites full access to system / tab CPU usage, GPU usage, and memory usage. It also gives access to detailed processor information, and provides a logging backchannel.
— Luca Casonato 🏳️🌈 (@lcasdev) July 9, 2024
This API is not exposed to other sites - only to *.google.com.
– Dette er interessant fordi det er et klart brudd på idéen om at nettleserleverandører ikke skal gi fordeler til sine egne nettsteder fremfor andres, skriver Casonato, som til daglig jobber med blant annet utvikling av Deno.
Hangout services
Det aktuelle API-et ligger i Chromium-kodebasen, som er åpen kildekode, nærmere bestemt i et nettlesertillegg som heter hangout_services. Tillegget vises ikke i den vanlige oversikten over installerte nettlesertillegg, og kan ikke fjernes uten videre.
Som det fremgår av navnet, er dette noe som ble utviklet i sin tid i forbindelse med videotjenesten Google Hangouts, som senere har blitt til to produkter: Google Meet og Google Chat.
API-et kan sende statistikk om hvor mye av maskinens ressurser nettleseren din bruker. Det finnes ifølge Casonato i både Chrome og andre Chromium-baserte nettlesere som Microsoft Edge og Brave.
Teknisk sett er det riktignok ingenting i veien for at andre nettlesere kan velge å lage et tilsvarende API.
Mener det er brudd på DMA
Casonato mener det faktum at kun *.google.com-domener kan hente ut informasjon fra API-et kan gi Google et konkurransemessig fortrinn og dermed være et brudd på EUs Digital Markets Act (DMA).
– Nettleserleverandører, som portvoktere for internett, må gi de samme mulighetene til alle, skriver han.
Depending on how you interpret the DMA, this additional exposure of information only to Google properties may be considered a violation of the DMA.
— Luca Casonato 🏳️🌈 (@lcasdev) July 9, 2024
Take for example Zoom - they are now at a disadvantage because they can not provide the same CPU debugging feature as Google Meet.
Et annet mulig problem er at nettlesere som ikke er basert på Chromium ikke har API-et.
Dermed kan man risikere at brukere med slike nettlesere får en dårligere brukeropplevelse når de besøker Google-nettsteder.
Google: – Til å forbedre brukeropplevelsen
En talsperson fra Google sier til The Register at de bruker API-et til to ting:
- Optimalisere innstillinger for lyd og video basert på hva brukerens PC er i stand til
- Sende krasj- og ytelsesdata for å hjelpe Googles tjenester med å oppdage, feilsøke og fikse problemer
– Begge deler er viktige for brukeropplevelsen, og i begge tilfeller følger vi robuste databehandlingspraksiser laget for å beskytte brukerens personvern, sier talspersonen.
Ifølge The Register brukes API-et i dag for å variere kvaliteten på en videostrøm i Google Meet, avhengig av hva brukerens PC takler.
