Chrome第三方扩展程序被曝光可记录隐私信息并出售
瑞典的安全公司Detectify实验室目前表示有些Chrome扩展程序会追踪用户的上网历史记录,甚至还包括Facebook Connect的私密访问令牌、连接到私有Dropbox和Google Drive文件的链接。
影响范围较广不容乐观
Detectify实验室安全研究人员称这些Detectify实验室并未经过用户的同意就开始追踪用户的上网历史记录,甚至有些追踪功能都是默认打开的。也有一些是在隐藏在隐私保护协议里面的。Detectify实验室安全研究人员不仅仅发现这些Chrome扩展程序会追踪用户的上网历史记录,甚至还包括Facebook Connect的私密访问令牌、连接到私有Dropbox和Google Drive文件的链接。
Detectify实验室透露包括HooverZoom、SpeakIt、ProxFlow、Instant Translate、FB Color Changer、SafeBrowse、JavaScript Error Notifier、SuperBlock AdBlocker等多款热门扩展程序存在追踪用户上网情况。
虽然分析提供商通过获取这些用户上网行为来提供相应的数据支持,但是通过Chrome扩展程序来获取的方式显然是出于犯罪的边缘。对于分析提供商这些隐私数据很明显存在一定的危害性,如果利用该种恶意攻击方式,可以对目标造成很大的影响。
隐私信息被出售
Detectify实验室安全研究人员分析了这些Chrome扩展程序,发现了这些Chrome扩展程序可以自我更新,哪怕这些扩展程序在明面上不再更新升级,但是依然允许分析公司升级追踪代码并增加新功能,哪怕扩展的原作者已经终止了他的项目。研究人员同时表示,分析这些扩展程序很不容易,这些扩展程序在监控用户的过程都是独立的。
研究人员在研究扩展程序时,分析恶意程序作者的目的,称:
“恶意程序作者的真实目的可能是为了获取金钱利益。”
Detectify实验室的安全专家Linus Särud和Frans Rosén表示:
“我们曾在Chrome扩展相关论坛看到有人出售这些追踪信息,每用户/月售价为0.04美元。如果获得数万或者数百万用户数据,那么每个月都可以获得非常可观的收益。”
文章来源【FreeBuf】
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 1 总书记深深牵挂雪域高原上的人们 4901550
- 2 雷军公布价格 现场车企大佬反应亮了 4952861
- 3 23省份人口数据出炉 4822391
- 4 抓住“热辣滚烫”的“春日经济” 4776068
- 5 万科郁亮月薪降至1万 曾年薪千万 4673370
- 6 女骑手半个月偷吃40多份外卖 4528559
- 7 雷军把小爱同学喊崩了 4499835
- 8 小米首款汽车起售21.59万 贵吗? 4315395
- 9 面具男用病毒针扎人系谣言 4248128
- 10 江苏681万大奖得主彩票被洗得稀碎 4175332