相信很多人会使用扩展程序定制自己的浏览体验,也许你已经添加了一个广告拦截器,或一个可以检查你的写作的程序,甚至一个指纹。然而,如果这些扩展程序不像你想的那样安全——实际上对你的在线活动构成了真正的风险呢?
我们的研究准确地揭示了浏览器扩展程序的这些深远的危险,包括世界上一些最常用平台的扩展检测的现实例子。在这个由两部分组成的系列中,我们将探讨扩展检测的方法和风险,然后进一步研究它们的流行程度、隐私含义和缓解措施。
基础知识:浏览器扩展程序和插件
浏览器是我们互联网生活的重要组成部分,每天都要使用数百次,用于阅读新闻、访问账户、发送电子邮件和运行我们的业务。然而,浏览器厂商并没有尝试满足每个人的特殊需求,而是像乐高积木一样,他们把定制留给使用者也就是我们每一个人,并给我们提供浏览器扩展或附加组件。与Lego一样,只需将HTML、CSS、JavaScript等元素组合在一起,就可以根据不同的需求定制浏览器。也就是说,我们中的许多人容易混淆两个相似的术语:插件和扩展。
插件是可执行的二进制文件,而扩展则是使用浏览器公开的api的脚本代码。虽然Adobe Flash等插件几乎被所有浏览器供应商弃用,但扩展仍然每天都在广泛使用。
扩展每天都被广泛使用。然而,正如我们将会发现的那样,它们也不是没有缺点的。
把它们的用途放在一起几乎是不可能的。最常用的扩展市场谷歌Chrome Store提供了84个类别,从天气预报到加密货币、时尚等。但是,数字世界中的便捷都有它自己的缺点。因此,安装扩展程序是否会损害你的隐私我们必须要深入探讨一下。
浏览器扩展固有的风险
当您接受来自您的权限扩展请求时,它们可以具有强大的功能,如读取浏览器历史记录和cookie,或拦截请求和响应。虽然这些风险不在本文的讨论范围内,但我们认为有必要告知您,不仅在安装扩展之前,而且在更新扩展之后,它可能会要求您提供一些额外的权限。另一个威胁来自于浏览器扩展或附加组件被卖给其他开发人员或公司的风险,这些开发人员或公司可能会利用这些扩展或附加组件获取恶意数据。
浏览器指纹识别——扩展作为浏览器指纹的一部分
浏览器扩展检测领域
1. 网络可访问资源(WAR)
扩展是包含许多资源的归档文件,如JavaScript、html、CSS和图像文件。Web可访问资源是一种方法,网站可以访问存储在您的计算机上的扩展名文件,从而了解扩展名是否已安装。
2. 修改DOM
在此之前,我们在该领域主要关注的是探索扩展的方式。然而,在2019年,我们意识到许多扩展都是通过修改DOM来展示自己的。本质上,这意味着对页面源代码的更改不能直接看到,但进一步检查这些更改,最终发现扩展的能力。
这也引发了一种想法,即Firefox应用的扩展ID随机化机制来防止扩展探测实际上带来了另一种更重要的风险:恶意网站可能会使用随机ID来跟踪唯一的用户。
3. 内部消息传递或外部资源加载
一个浏览器扩展由几个部分组成,如内容脚本,后台脚本,清单。Json文件及其资源。内容脚本是加载的网页的一部分,而后台脚本,顾名思义,在后台运行。由于浏览器厂商设计的安全模型,这些部分是相互隔离的,不能直接相互访问。它们必须使用内部消息传递机制,如扩展api或窗口消息传递来相互通信。
