Hacker News 中文摘要

RSS订阅

Chrome扩展程序窃取3700万用户浏览数据 -- Chrome extensions spying on 37M users' browsing data

原文链接 | HN讨论 | 2026-02-11 22:00:33

文章摘要

研究发现287个Chrome扩展程序会窃取用户浏览历史,这些扩展总安装量达3740万次,约占全球Chrome用户的1%。泄露数据的背后涉及多家公司,包括Similarweb、Curly Doggo等,其中"Big Star Labs"疑似Similarweb的关联机构。研究人员通过自动化扫描管道和中间人代理技术检测到这些扩展程序的数据外泄行为。

文章总结

287个Chrome扩展程序窃取3700万用户浏览数据

核心发现

  • 研究人员搭建自动化检测系统,通过Docker容器运行Chrome浏览器,配合中间人代理(MITM)监控扩展行为,发现287个存在数据泄露行为的扩展程序。
  • 这些扩展总安装量达3740万次,约占全球Chrome用户的1%。
  • 主要涉事方包括:Similarweb、Curly Doggo、Offidocs、中国背景开发者、小型数据中介商,以及疑似Similarweb关联的"Big Star Labs"。

技术检测方法

  1. 检测原理:通过分析网络流量与访问URL长度的相关性,建立回归模型计算泄露率(R值)。当R≥1.0判定为明确泄露,0.1≤R<1.0则需人工复核。
  2. 检测流程:采用两阶段扫描策略,先进行4种负载测试,符合条件再追加6种测试,总计消耗930个CPU日。

数据滥用危害

  • 用户画像与广告投放:完整的浏览历史是广告商的"黄金数据"
  • 商业间谍活动:员工使用的"生产力工具"可能泄露内部系统URL
  • 凭证窃取风险:结合cookie与浏览历史可重构用户会话
  • 个人隐私暴露:即使仅收集URL,也可能包含身份证号等敏感信息

典型案例分析

  1. PoperBlocker扩展(ID: bkkbcggnhapdmkeljlodobbkopceiche)

    • 使用ROT47简单加密传输数据,包含完整搜索记录和用户标识

  2. Stylish主题管理器(ID: fjnbnpbmkenffdnngjfgmeleoegfcffe)

    • 采用AES-256+RSA混合加密,但加密密钥可被拦截

  3. Blocksi扩展(ID: eiimnmioipafcokbfikbljfdeojpcgbh)

    • 使用LZString压缩算法,泄露当前/历史访问URL及设备信息

  4. Similarweb相关扩展(ID: hoklmmgfnpapgjgcpechhaamimifchmp)

    • 通过多层URL编码传输数据,与Kontera爬虫存在关联

历史关联证据

  • 2016年德国博客已曝光WOT扩展(ID: bhmmomiinigofkjcapegjjndpbikblnp)存在类似Similarweb的数据收集行为
  • 2018年研究显示Stylish扩展会静默上传用户浏览记录

防御建议

  • 警惕非开源免费软件,默认假设自己就是"产品"
  • 定期审查浏览器扩展权限
  • 优先选择知名开发者的扩展程序

(注:为保护检测方法有效性,研究者未公开完整技术细节。完整报告及扩展列表可通过文末链接获取)

评论总结

总结评论内容:

  1. 浏览器扩展的安全隐患
  • 认为扩展权限过大,甚至能获取密码字段:"any extension...can see your input type=password fields"(评论1)
  • 扩展可能被收购后变成恶意软件:"get bought out at some point and become malware"(评论2)
  1. 应对措施建议
  • 仅安装必要扩展:"install as few browser extensions as possible"(评论3)
  • 使用开源可审计的扩展:"only run open source extensions that I can actually audit"(评论7)
  • 开发者模式安装:"Load extensions in developer mode"(评论6)
  1. 对谷歌的批评
  • 指责谷歌监管不力:"Google doesn't care as long as they get their cut"(评论7)
  • 认为应承担更多责任:"One of the most profitable corporations...is totally negligent"(评论13)
  1. 数据收集问题
  • 担忧数据被持续利用:"the profile it helped build persists"(评论15)
  • 扩展收集认证令牌:"capturing tons of authentication tokens"(评论12)
  1. 技术解决方案
  • 手动审查代码:"patch Chromium binary...look at the code"(评论16)
  • 创建检测工具:"make a site to check whether installed extensions are malicious"(评论22)
  1. 行业现状
  • 认为整个行业需重新思考扩展机制:"industry needs to rethink extensions in general"(评论4)
  • 扩展商店已成雷区:"CWS has given up on oversight...a minefield"(评论19)
  1. 用户选择
  • 建议改用其他浏览器:"Quit using Alphabet stuff"(评论24)
  • 不理解Chrome的主导地位:"do not understand the Chrome hegemony"(评论25)