上週五，隨著谷歌Chrome擴充套件被**並注入廣告軟體的訊息在網際網路上引起了轟動。但一個鮮為人知且更重要的事實是，你的擴充套件正在監視你，並將你的瀏覽歷史**給一些可疑的公司。HTG調查。

TL；DR版本：

• Chrome、Firefox和其他瀏覽器的瀏覽器載入項都在跟蹤你訪問的每一個頁面，並將這些資料傳送回第三方公司，後者為你的資訊付費。
• 其中一些附加元件還向你訪問的頁面中注入廣告，谷歌出於某種原因特別允許這樣做，只要它是“明確披露的”。
• 數以百萬計的人被這樣追蹤，他們一點線索也沒有。

我們正式稱之為間諜軟體嗎？嗯…沒那麼簡單。維基百科對間諜軟體的定義是“在不知情的情況下幫助收集個人或組織資訊的軟體，可以在未經消費者同意的情況下將此類資訊傳送給其他實體”。這並不意味著所有收集資料的軟體都一定是間諜軟體，也不意味著所有將資料傳送回伺服器的軟體都一定是間諜軟體。

但是，當一個擴充套件的開發人員千方百計隱藏這樣一個事實，即你訪問的每一個頁面都被儲存併發送給一個公司，而這個公司為這些資料付費，同時將這些資料作為“匿名使用統計資料”埋在設定中時，至少存在一個問題。任何合理的使用者都會假設，如果開發人員想要跟蹤使用統計資料，他們只會跟蹤擴充套件本身的使用情況——但事實恰恰相反。大多數擴充套件都在跟蹤除使用擴充套件以外的所有其他操作。他們只是在跟蹤你。

這就更成問題了，因為他們稱之為“匿名使用情況統計”；單詞“匿名”意味著不可能找出資料屬於誰，就好像他們正在清除資料中的所有資訊一樣。但他們不是。是的，當然，他們使用匿名令牌來代表你，而不是你的全名或電子郵件，但你訪問的每一頁都與該令牌繫結。只要你安裝了那個擴充套件。

追蹤任何人的瀏覽歷史足夠長的時間，你就能知道他們到底是誰。

你開啟過多少次自己的Facebook個人資料頁面，或Pinterest、Google+或其他頁面？你有沒有注意到這個網址是如何包含你的名字或是你的身份的？即使你從未訪問過這些網站中的任何一個，找出你是誰也是可能的。

我不知道你的情況，但我的瀏覽歷史是我的，除了我誰也不能訪問。電腦有密碼，而5歲以上的人都知道刪除他們的瀏覽器歷史記錄，這是有原因的。你在網際網路**問的內容是非常私人的，除了我之外，沒有人應該擁有我訪問的頁面列表，即使我的名字與列表沒有特別關聯。

我不是律師，但谷歌針對Chrome擴充套件的開發者計劃政策明確規定，不應允許擴充套件開發者釋出我的任何個人資訊：

We don’t allow unauthorized publishing of people’s private and confidential information, such as credit card numbers, government identification numbers, driver’s and other license numbers, or any other information that is not publicly accessible.

我的瀏覽記錄怎麼不是個人資訊？絕對不能公開訪問！

是的，很多擴充套件外掛也會**廣告

大量的擴充套件將廣告注入到您訪問的許多頁面中，這使得問題更加複雜。這些擴充套件只是把他們的廣告放在他們隨機選擇放在頁面的任何地方，而且他們只需要包含一小段文字來標識廣告的來源，大多數人都會忽略，因為大多數人甚至不看廣告。

相關：網站在網上追蹤你的多種方式

當你處理廣告時，也會涉及到餅乾。（值得注意的是，這個網站是廣告支援的，廣告商把cookies放在你的硬碟上，就像網際網路上的每一個網站一樣。）我們不認為cookies是一個巨大的交易，但如果你這樣做了，它們是很容易處理的。

如果你能相信的話，廣告軟體的擴充套件實際上不是什麼問題，因為他們所做的對擴充套件的使用者來說是非常明顯的，然後使用者就可以對此大吵大鬧，並試圖讓開發者停止。我們當然希望谷歌和Mozilla改變他們荒謬的政策來禁止這種行為，但我們不能幫助他們獲得常識。

另一方面，跟蹤是祕密進行的，或者說本質上是祕密的，因為他們試圖在擴充套件的描述中用法律術語隱藏他們正在做的事情，沒有人滾動到自述檔案的底部來判斷擴充套件是否會跟蹤人。

這種間諜活動隱藏在EULA和隱私政策背後

這些擴充套件“被允許”參與這種跟蹤行為，因為它們在其描述頁上或在其選項面板的某個點上“披露”了它。例如，擁有一百萬使用者的HoverZoom擴充套件在其描述頁面的最底部顯示以下內容：

Hover Zoom uses anonymous usage statistics. This can be disabled in the opti*** page without losing any features as well. By leaving this feature enabled, the user authorize the collection, transfer and use of anonymous usage data, including but not limited to transferring to third parties. 

在這個描述中，他們到底在哪裡解釋了他們將跟蹤你訪問的每一個頁面，並將URL傳送回第三方，第三方為你的資料付費？事實上，他們到處宣稱他們是透過聯盟連結贊助的，完全忽略了他們監視你的事實。是的，沒錯，他們還在到處投放廣告。但是，你更關心的是哪一個，一個廣告出現在網頁上，還是他們把你的瀏覽歷史記錄全部拿出來，然後把它發給別人？

他們之所以能夠僥倖逃脫，是因為他們的選項面板中有一個小小的複選框，上面寫著“啟用匿名使用情況統計”，你可以禁用這個“功能”——不過值得注意的是，它預設為選中狀態。

這個特殊的擴充套件有著長期的不良行為歷史，可以追溯到相當長的一段時間。這位開發人員最近被抓到收集瀏覽資料，包括表單資料……但他去年也被抓到向另一家公司**你輸入的資料。他們現在增加了一個隱私政策，可以更深入地解釋正在發生的事情，但是如果你必須閱讀一個隱私政策來找出你被監視了，那你就有另一個問題了。

綜上所述，僅這一次就有100萬人被監視。這只是其中的一個擴充套件——還有很多人在做同樣的事情。

擴充套件可以在您不知情的情況下易手或更新

絕對沒有辦法知道何時更新了一個擴充套件以包含間諜軟體，而且由於許多型別的擴充套件甚至需要大量的許可權才能在第一時間正常執行，然後才變成廣告注入的間諜軟體，所以在新版本釋出時不會提示您。

更糟糕的是，這些擴充套件在過去的一年裡已經易手了——任何曾經寫過擴充套件的人都被大量的請求所淹沒，要求他們把擴充套件賣給陰暗的人，然後這些人就會用廣告感染你或者監視你。由於擴充套件不需要任**的許可權，您將永遠沒有機會在不知情的情況下找出哪些擴充套件添加了祕密跟蹤。

當然，在將來，您應該避免完全安裝擴充套件或外掛，或者非常小心安裝哪些擴充套件或外掛。如果他們要求對您計算機上的所有內容都有許可權，您應該單擊“取消”按鈕並執行。

帶遠端啟用開關的隱藏跟蹤程式碼

事實上，還有很多其他的擴充套件，都內建了完整的跟蹤程式碼，但是這些程式碼現在已經被禁用了。這些擴充套件每隔7天ping回伺服器以更新其配置。它們被配置成傳送更多的資料回來-它們精確地計算你開啟每個選項卡的時間，以及你在每個站點上花費的時間。

我們測試了其中一個名為Autocopy Original的擴充套件，透過誘使它認為應該啟用跟蹤行為，我們能夠立即看到大量資料被髮送回伺服器。Chrome商店中有73個這樣的擴充套件，Firefox外掛商店中也有一些。它們很容易辨認，因為它們都來自wips.com“或”wips.com合作伙伴”。

想知道為什麼我們擔心跟蹤甚至還沒有啟用的程式碼嗎？因為他們的描述頁面沒有提到任何關於跟蹤程式碼的資訊-它作為複選框隱藏在每個擴充套件上。因此，人們安裝的擴充套件，假設他們是從一個高質量的公司。

啟用跟蹤程式碼只是時間問題。

調查這起間諜案很糟糕

普通人甚至不會知道這種間諜活動正在進行——他們看不到對伺服器的請求，他們甚至沒有辦法知道它正在發生。這百萬使用者中的絕大多數不會受到任何影響……除了他們的個人資料被竊取。那你自己怎麼想出來的？它叫小提琴手。

Fiddler是一個web除錯工具，它充當代理並快取所有請求，這樣您就可以看到發生了什麼。這是我們使用的工具-如果你想在家裡複製，只要安裝一個像Hover Zoom這樣的間諜擴充套件，你就會看到兩個類似於t的請求。searchelper.com和api28。網站overnet.com對於您檢視的每一頁。如果你檢查Inspectors標籤，你會看到一堆base64編碼的文字…事實上，出於某種原因，它已經被base64編碼了兩次。（如果您想在解碼前獲得完整的示例文字，我們將其儲存在文字檔案中）。

一旦你成功地解碼了這段文字，你就會明白到底發生了什麼。他們正在發回您當前訪問的頁面、上一頁、唯一標識您的ID以及其他一些資訊。這個例子非常可怕的一點是，我當時在我的銀行網站上，這個網站是用HTTPS加密的SSL。沒錯，這些擴充套件仍然在跟蹤你的網站，應該加密。

s=1809&md=21&pid=mi8PjvHcZYtjxAJ&sess=23112540366128090&sub=chrome &q=https%3A//secure.bankofamerica.com/login/sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go

你可以放棄api28。網站overnet.com然後把另一個網站放到你的瀏覽器中，看看他們的領先地位，但我們可以省去你的懸念：它們實際上是一家名為similareweb的公司的API重定向，這家公司是許多進行這種跟蹤的公司之一，並**資料，以便其他公司可以監視他們的競爭對手在做什麼。

如果你是一個喜歡冒險的型別，你可以很容易地找到這個相同的跟蹤程式碼開啟你的chrome://擴充套件頁單擊開發人員模式，然後單擊“檢查檢視：html”/背景.html“或類似的文字，告訴你檢查擴充套件。這將讓您看到擴充套件一直在後臺執行的內容。

一旦你點選檢查，你會立即看到一個原始檔列表和其他各種東西，你可能會覺得希臘。本例中最重要的是兩個名為tr的檔案_高階.js和tr_簡單.js. 這些檔案包含跟蹤程式碼，可以肯定地說，如果您在任何副檔名中看到這些檔案，您正在被監視，或者將在某個時候被監視。當然，有些擴充套件包含不同的跟蹤程式碼，所以僅僅因為您的擴充套件沒有這些程式碼，並不意味著什麼。騙子往往很狡猾。

您可能會注意到，右側的URL與前面的URL不太一樣。實際的跟蹤原始碼相當複雜，似乎每個擴充套件都有不同的跟蹤URL。

防止擴充套件自動更新（高階）

如果你有一個你知道並信任的擴充套件，並且你已經驗證了它沒有包含任何不好的東西，你可以確保這個擴充套件永遠不會祕密地用間諜軟體更新你-但是它確實是手動的，可能不是你想要做的。

如果仍要這樣做，請開啟“擴充套件”面板，找到擴充套件的ID，然後轉到%localappdata%\google\chrome\User Data\default\Extensi***並找到包含擴充套件的資料夾。更改清單.json替換客戶端2。谷歌網站使用localhost。注意：我們還不能用一個實際的擴充套件來測試它，但是它應該可以工作。

對於Firefox來說，這個過程要簡單得多。轉到載入項螢幕，單擊選單圖示，然後取消選中“自動更新載入項”。

那麼這會給我們留下什麼呢？

我們已經確定，大量的擴充套件正在更新，包括跟蹤/間諜程式碼、注入廣告，誰知道還有什麼。他們被賣給了不值得信任的公司，或者開發商被輕易地收買了。

一旦你安裝了一個附加元件，就沒有辦法知道他們不會包括間諜軟體。我們只知道有很多附加元件和擴充套件在做這些事情。

人們一直在要求我們提供一個列表，在我們調查的過程中，我們發現有這麼多的擴充套件在做這些事情，我們不確定我們是否能把所有的擴充套件都列出來。我們將把他們的列表新增到與本文相關的論壇主題中，這樣我們就可以讓社群幫助我們生成一個更大的列表。

檢視完整列表或給我們您的反饋