Josiah02 发表于 2024-9-19 12:45:12

研究发现数千个浏览器扩展程序泄露用户数据

浏览器扩展程序是一种软件附加组件,可帮助用户自定义和增强其网络浏览器,非常受欢迎。一些最常用的扩展程序可以查找购物优惠、修正语法和拼写错误、管理密码或翻译网页。可用的扩展程序类型几乎无穷无尽,许多扩展程序已成为企业和日常用户不可或缺的工具。
虽然这些扩展程序可以让网络浏览更方便、更高效、更有意义,但它们也并非没有风险。佐治亚理工学院的最新研究表明,数千个浏览器扩展程序对隐私构成了重大威胁,数百个扩展程序会自动从网页中提取私人用户内容,影响数百万互联网用户。
在网络安全与隐私学院和电气与计算机工程学院助理教授 Frank Li 以及博士生 Qinge Xie 的带领下,一个研究团队开发了一种新系统,用于监控浏览器扩展程序是否以及如何从网页收集用户内容。
该团队还包括网络安全与隐私学院和计算机科学学院的助理教授 Paul Pearce 以及佐治亚理工学院硕士校友 Manoj Vignesh Kasi Murali,他们于 8 月份在网络安全会议Usenix 安全研讨会上发表了他们的研究论文。
“我们从之前的研究中得知,浏览器扩展程序会收集用户的浏览器活动和历史记录,但一些最敏感的用户数据位于网页内,例如电子邮件、社交媒体资料、医疗记录、银行信息等,”李说。“我们想知道扩展程序是否也从这些网页收集个人数据。”
该团队设计了一个网络框架 Arcanum,以测试扩展程序是否会自动从网页中提取用户数据。他们使用该系统研究了 Chrome 网上应用店中提供的每个功能扩展程序(超过 100,000 个)。具体来说,他们使用该系统监控扩展程序是否从已知包含敏感信息的七个热门网站中提取了用户数据:亚马逊、Facebook、Gmail、Instagram、LinkedIn、Outlook 和 PayPal。
研究人员发现,浏览器扩展程序收集潜在敏感和私人数据的行为十分普遍。他们发现有 3,000 多个浏览器扩展程序会自动收集用户特定数据,影响数千万用户。超过 200 个扩展程序直接从网页中获取敏感用户数据并将其上传到服务器。
浏览器扩展程序有时会出于正当理由收集用户数据,例如,当收集的数据与扩展程序的功能或用途相关时。因此,识别扩展程序数据收集行为背后的意图可能很困难。
为了进一步调查,研究人员抽取了一组被标记的扩展程序样本,并将每个扩展程序的数据收集行为与其隐私政策和网络商店描述进行了比较,这些政策和描述应该解释扩展程序的使用方式以及它将收集哪些信息。这使得研究人员能够调查用户是否有理由期望扩展程序自动收集他们的数据作为其功能的一部分。
在该样本组中,研究人员发现,没有一家商店在其隐私政策或网络商店描述中明确描述自动化用户数据收集的情况。
“不幸的是,扩展程序所依赖的丰富网络浏览体验的功能也可能被滥用,从而损害用户隐私,并且可能在用户不知情或未明确同意的情况下发生,”谢说。“即使在数据收集是良性的并且对于合法功能是必要的情况下,它也会带来隐私风险。敏感的用户数据可能会被第三方传输和存储,第三方可能会进一步共享数据,甚至可能在数据泄露期间泄露数据。”
研究人员表示,他们的研究结果表明,像谷歌这样的公司可以制定更严格的扩展隐私政策,或更广泛地执行现有政策。用户敏感数据被收集的大公司也可以增加措施来保护客户。
“我不认为个人用户应该承担担心隐私或保护数据的负担,因为他们可能没有能力或技术知识来弄清楚发生了什么,”李说。“这类工作的目标是将这些问题带给能够影响数据收集的组织或利益相关者,希望它能够指导他们加强用户隐私。”

页: [1]
查看完整版本: 研究发现数千个浏览器扩展程序泄露用户数据