许多都安装了浏览器扩展。 至少是一个广告拦截器。 但是,在安装扩展程序时,请务必小心:并非所有扩展程序都有用,而有些则完全用于监视。
即使特定扩展名现在暂时不“窃取”任何信息,也无法保证将来不会开始这样做。 这是系统问题。
最近,专家
发现了 “分析”公司
Nacho Analytics 的活动,该公司以雄心勃勃的座右铭“ Internet的上帝模式”提供服务,通过Chrome和Firefox扩展几乎实时地跟踪了数百万用户的行为延迟)。
研究人员将DataSpii(发音为data-spy)称为个人数据的灾难性泄漏。 他们指出,分析公司及其客户不仅接收访问页面的历史记录,而且还从URL和页面标题中提取各种个人信息。
Nacho Analytics客户可以在常规流量中搜索各种参数,例如:
- 用户的GPS坐标;
- 纳税申报单,商业文件,在OneDrive上的公司介绍幻灯片和其他托管服务;
- 来自Nest安全摄像机的视频;
- 最近购买的汽车的VIN,所有者名称和地址;
- Facebook Messenger消息和Facebook照片的附件,甚至是私下发送的;
- 银行卡详细信息;
- 旅游路线;
- 还有更多。
该服务每月收费49美元,可让您跟踪特定公司/站点的员工或用户的行为:例如,Apple,Facebook,Microsoft,Amazon,Tesla Motors或Symantec。
DataSpii泄漏已影响了超过400万用户。 研究人员已经确定了进行监视的许多扩展。 它们在下表中列出:
最后四个扩展清楚地表明它们正在从浏览器中收集数据,其余的则没有。
下表列出了Nacho Analytics分析服务所针对的公司以及显示了哪些特定信息。 相关数据要么直接提供,要么在界面中有指向它们的链接。
在研究人员报告Google和Mozilla中的数据泄漏后,列出的扩展名已从官方目录中删除,Nacho Analytics暂停了“ Internet的上帝模式”服务。 也许不会永远。
有些扩展程序明确报告了浏览器中的数据收集,并且仅在用户同意的情况下执行了,而其他扩展程序则秘密进行了。 有趣的是,用于附加屏蔽的单个扩展(悬停Zoom和SpeakIt)并没有立即开始发送收集的数据,而是在安装后24天才开始发送。
令人惊讶的是,Nacho Analytics将自己定位为合法的“分析服务”。 她声称数据收集是在用户同意下进行的。 但是,众所周知,大约有99%的人在安装程序时未阅读使用协议,因此,这种“同意”只是一个约定。 而且,从理论上讲,公司可以从其当前所有者
那里购买一个现有的流行扩展 -并对其进行一些修改以开始收集数据。 大多数用户可能会同意新的使用协议,而无需阅读该协议。
如上所述,当前形式的浏览器扩展生态系统是系统性的安全问题。 浏览器开发人员应考虑如何解决。
