Chrome扩展程序大规模监视37百万用户浏览历史

摘要

本文披露了安全研究人员发现的严重隐私泄露问题：287个Chrome扩展程序暗中收集并外泄用户的浏览历史，影响约3740万用户。研究团队开发了基于Docker和MITM代理的自动化扫描系统，通过流量相关性分析检测数据外泄行为。研究揭示了Similarweb、Big Star Labs等数据经纪商通过浏览器扩展获取用户数据的完整产业链，并利用蜜罐技术追踪数据流向。

内容框架与概述

文章首先介绍了研究背景和方法论。研究者借鉴了2017-2018年的相关研究，开发了可扩展的自动化扫描框架，通过在Docker容器中运行Chromium并配合MITM代理，监测扩展程序的网络流量变化。核心原理是：如果扩展的外发流量与访问URL的长度呈线性相关，则表明该扩展正在泄露URL信息。研究共消耗约930 CPU天完成扫描。

随后文章展示了扫描结果和主要发现。287个可疑扩展中，部分已被确认为恶意数据收集工具。研究者通过蜜罐技术追踪数据流向，发现多个IP地址持续访问这些扩展外发的数据，包括与Kontera、HashDit、Blocksi等服务商相关的IP。文章特别提及Big Star Labs可能是Similarweb的关联实体。

最后，文章深入分析了这一威胁的实际影响。37.4百万受影响用户相当于波兰全国人口规模，涉及的隐私风险包括用户画像构建、针对性广告投放、企业内网泄露甚至凭证窃取等。研究人员以Poper Blocker和Stylish为例，详细解析了数据外泄的具体机制，包括ROT47编码和AES-256加密等技术手段。

核心概念及解读

MITM代理：中间人代理工具，用于拦截和分析Chrome扩展与远程服务器之间的通信流量，是检测数据外泄的关键技术手段。

流量相关性分析：通过数学模型计算外发数据量与URL长度的相关系数，用于判断扩展是否在传输完整的访问地址。

数据经纪商：专门收集和出售用户数据的商业实体，Similarweb等公司利用浏览器扩展获取用户浏览历史并打包销售给第三方。

蜜罐技术：设置虚假的URL吸引并追踪数据收集行为，通过识别访问蜜罐的IP地址来溯源数据收集者和流向。

加密外泄机制：部分高级恶意扩展使用AES-256+RSA混合加密传输数据，攻击者生成一次性对称密钥加密数据，再用RSA公钥加密该密钥，大幅增加逆向分析的难度。

原文信息

此摘要卡片由 AI 自动生成