隐藏在众目睽睽之下:浏览器扩展程序带来的风险(下)

对任何需要管理多个网站账号的企业来说,浏览器扩展程序是一个巨大的风险。在本研究报告系列的第一部分中,我们解释了探测浏览器扩展程序的四个领域。在第二部分中,我们将揭示探测扩展程序为什么远不止理论实验,实际上被像LinkedInYouTube这样的大公司所使用。

接下来,我们将进一步解释它对隐私的影响;更重要的是,揭示您可用于降低风险的方法。

扩展程序探测在实际工作中有多普遍?

根据经验,我们不难发现,扩展程序探测被众多网站应用,甚至是那些最著名的网站。例如,当您访问YouTube.com时,网站会通过探测该扩展程序的WAR文件来检查Chrome Media Router扩展是否存在。

 

另一个例子是LinkedIn,它是世界上被使用最广泛的商业网络之一。LinkedIn可以检查出18个可用于从该网站上挖掘数据的扩展程序。

LinkedIn extension detection

Add-ons LinkedIn prevents [1] https://www.linkedin.com/help/linkedin/answer/56347/prohibited-software-and-extensions
LinkedIn阻止的扩展程序 [1]

如果LinkedIn发现用户使用这些扩展程序,它会禁止或限制该用户,即使某些扩展程序有合法用途。[2]

LinkedInlocalStorageC_C_M变量中存储了将被探测的扩展程序。您可以查看LinkedIn正在检查哪些扩展程序的详细信息:

以下是LinkedIn试图探测的一些扩展程序:

  • SalesLoft Connect (cffgjgigjfgjkfdopbobbdadaelbhepo)
  • Discoverly (dijhcpbkalfgkcebgoncjmfpbamihgaf)
  • Ebsta for Bullhorn (bneepngbmdnjodaceeffcodionfphgcb)
  • Ebsta For Salesforce (gemcgnkghpnfbmlfimdbdgfepcgenphf)
  • One2Lead – LinkedIn Automation Tool (mdbaimghogkgfpkgmjfbkjnjamhkbnmm)
  • Social Lookup (ppomfpehkfdkogbloajgjllonjlnjdeh)
  • Entelo (nogdppkjhdnlpkbbdbgpmekmbfpkkogb)

绕回我们关于浏览器扩展探测的普遍性的问题,在Alexa排名前10,000个网站中,约25%的网站会进行扩展程序探测。事实上,Alexander Sjösten最近的研究也证实了这一点。该研究显示,在2019年,这些网站中约有2572个会WAR进行探测;在2017年,仅有66个网站这样做。

Alexa排名前10,000名的网站中,有25%的网站,包括LinkedInYouTube,进行浏览器扩展程序探测。

扩展程序探测对隐私有哪些影响?

网站探测扩展程序的背后有很多原因。例如,网站可以利用它来了解浏览器上是否安装了附带的程序,就像我们在Chromecast扩展程序中看到的那样。不过,对大多数我们的读者来说,最让人关心的是,扩展程序作为浏览器指纹的一部分。

扩展程序探测作为浏览器指纹的一部分

浏览器扩展的匿名性似乎遥不可及。读到这里,您可能并不会感到惊讶,但其实这与您息息相关,您应当予以关注。

要理解话题的全貌,您需要先了解匿名集大小这个概念。这从本质上描述了有多少不同的设备共享相同的浏览器指纹。例如,如果匿名集大小为1,这意味着浏览器指纹是唯一的。如果匿名集大小为5,则表明,有5台不同的设备拥有完全相同的指纹。

大量的扩展程序其实只有很少量的用户,甚至只有一个唯一的用户。想象一下,当您使用一个只有少数人才用的扩展程序时,如果这个扩展程序通过其对WARDOM的影响被网站探测到,那么在数百万的网络用户中,您的匿名大小是怎样的?看看最近的研究就知道了:Extension Monitor显示,在2019年,“25,540个扩展程序(占总数的13%)只有一个用户;同样,总的来说,大约50%Chrome扩展程序的安装量少于16”

2015年,人们决定所有的浏览器应该使用相同的浏览器扩展结构。尽管如此,不同的浏览器厂商实际上通过不同的扩展程序商店提供扩展程序。Google Chrome,使用Google Chrome Store;而Firefox则在Firefox Browser Add-Ons上提供扩展程序。Edge更倾向于在微软Edge Add-Ons上提供扩展程序;Opera则在Opera Add-Ons上提供扩展程序,等等。

50%Chrome扩展程序的用户少于16

让我们试想一下,某个网站或机构想了解您使用了哪一个浏览器。它可以通过查看DOM,判断出您使用了Grammarly扩展程序:

document.body.hasAttribute("data-gr-ext-installed")

Grammarly只出现在三款浏览器的扩展程序商店:ChromeEdgeFirefox。那么,下一步就太简单了。通过考察不同扩展程序商店使用的扩展程序ID,网站就可以知道,您使用的是哪一款浏览器。

以下是Grammarly浏览器扩展程序的WAR URL案例:

X-extension://EXTENSION_ID/src/images/eea2fd77fd2e973f20b26f45426b4c2c/my-grammarly@2x.png

探测Chrome/Chromium/Vivaldi浏览器:

// Extension ID: kbfnbcaeplbcioakkpcpgfkobkghlhen
<img src="chrome-extension://kbfnbcaeplbcioakkpcpgfkobkghlhen/src/images/eea2fd77fd2e973f20b26f45426b4c2c/my-grammarly@2x.png" />

探测Microsoft Edge浏览器:

//Extension ID: cnlefmmeadmemmdciolhbnfeacpdfbkd
<img src="chrome-extension://cnlefmmeadmemmdciolhbnfeacpdfbkd/src/images/eea2fd77fd2e973f20b26f45426b4c2c/my-grammarly@2x.png" />

探测Mozilla Firefox浏览器(由于随机扩展ID的特性,在火狐浏览器的安装过程中,DetectingID可能会发生变化。但仅需定义ELSE,网站即可识别出您是否使用了火狐浏览器。):

// Extension ID: 910b3cf7-g3f2-3aa1-2211-21c313e0000
<img src="moz-extension://910b3cf7-g3f2-3aa1-2211-21c313e0000/src/images/eea2fd77fd2e973f20b26f45426b4c2c/my-grammarly@2x.png" />

进一步的风险:扩展程序探测对隐私带来的威胁

除了浏览器指纹方面的风险外,扩展程序探测对隐私带来的影响可能更具破坏性,因为它可以深入到重要的人口统计信息:从信仰到健康问题,或政治倾向,等等。

例如,根据芝加哥伊利诺伊大学卡努斯(Carnus)研究人员在20202月进行的学术研究,扩展程序可以明确披露或暗示个人(如种族)或敏感(如宗教)信息

Installed extensions might reveal user's private information
已安装的扩展程序可能会泄露用户的隐私

分析显示,在Chrome网络商店的29,428个可被指纹追踪的扩展程序中,至少有18,286个扩展透露了人口统计信息。至于更敏感的信息类型——116个扩展程序披露了用户的宗教倾向;147个扩展程序揭露了用户的医疗或健康状况;387个扩展程序可以透漏用户的政治倾向。

正如伊利诺伊大学所说:

在有关健康的类别中,我们可以找到一些扩展程序,如UUIDknijgomkfcdigmbogcnffcbfgmapmkca,这是为了帮助有阅读障碍的人;UUIDedmpbiamnlgdichailkadlagmbklhbpk,它允许用户将自己的图像与网络上视觉相似的皮肤癌图像进行比较。在宗教类中,有UUIDndmbeogingkjkmmkoomnigifmpajmbkcUUIDapkkllhahggfkhfdlmpopcncnaiclfdm等扩展,它们可以暴露用户的宗教信仰。

extension categories

只需10秒,用户浏览器上的扩展程序就可以被探测出来。

意想不到的危险来自评论区

另一个意想不到的风险领域是扩展程序的评论区。您要知道,要写一个扩展程序的评论,用户必须先安装该扩展。通过分析这些评论,我们可以推断出一个扩展程序主要被运用于哪个领域,扩展程序支持哪些语言,等等。如果用户给一个可被指纹追踪的扩展程序留下评论,他的真实姓名、照片都可能被泄露。

如果用户给一个可被指纹追踪的扩展程序留下评论,他的真实姓名、照片都可能被泄露。

同样,相关研究也证实了这一点。

如果攻击者检测到4个可被我们的系统进行指纹追踪的随机扩展程序,它有94.47%的几率可以识别出具有唯一性的用户,并了解用户的姓名和档案图片。虽然这种去匿名化的攻击并不适用于所有用户(因为并不是每个人都会写评论),但它揭示了一个重大的隐私风险,这个风险来自于一个看似无害的行为,即写一个关于浏览器扩展的评论。

被忽悠进虚假的安全感中

当您以为某件事物的风险低,但这一认知与实际现实完全不符时,您是否对这种被忽悠了的感觉感到熟悉?举个例子,有些人认为使用VPN很安全,因为他们认为自己的实际位置得到了隐藏。但同时,他们使用了可被指纹追踪的扩展程序,此时,这个VPN就变得毫无用处。

很多人喜欢使用VPN,不仅仅是为了隐藏自己的真实IP,而是通过显示一个与自己实际居住位置不同的地址,来绕过一些地区性的内容限制。谷歌Chrome商城支持55种不同语言的扩展程序,不可否认的是,某些扩展程序更多地被来自特定地区的用户使用,这部分用户使用特定的语言。这就有助于用户识别。

“(…) “FlashSaleTricks “扩展程序(UUIDbboalniaekhennojedffbbjlokcpbjgn)的香农威纳多样性指数(Shannon-Wiener index)2.62。该扩展程序的语言及其描述文字均为英文,但在其评论中,印度人名居多。查看其网站后,我们发现它的目标用户确实是印度用户。第二个有趣的案例是 “Download Master”UUIDdljdacfojgikogldjffnkdcielnklkce),它似乎在俄罗斯用户中很受欢迎(SWI=3.47)。虽然这个扩展程序是英文的,但我们发现在安装时,它会下载额外的俄语软件。同样,虽然 “J2TEAM Security “扩展程序(UUIDhmlcjjclebjnfohgmgikfnbmfkigocc)的描述是英文的,但它的大多数评论者是越南人(SWI=3.21)。另一个例子是 “wanteeed “扩展程序(UUIDemnoomldgleagdjapdeckpmebokijail),香农威纳多样性指数为3.29。它与购物有关,受到以法国人为主的女性用户的欢迎(女性名字多2.9倍)。

如何降低浏览器扩展探测带来的的风险?

浏览器厂商和研究人员都提出并实施了一些针对浏览器扩展程序被进行指纹追踪的预防机制。例如,2013年,谷歌提出了manifest.json文件的第二个版本,该文件把用于网络可访问性的资源列入了白名单中。

关于Firefox,它对浏览器扩展程序生成的浏览器进程应用了随机化ID,但它并没有解决这个问题,而是允许探测机构通过网页导航对用户进行指纹识别,正如我们在报告的第一部分所讨论的那样。

2018年,谷歌浏览器提供了各个扩展程序的主机白名单。根据这项功能,您可以控制浏览器扩展程序在哪台主机上活动,或者通过点击工具栏上的扩展程序图标来启动该扩展。按照他们自己的解释:Chrome 70开始,用户可以选择限制扩展程序主机对自定义网站列表的访问权限,或将扩展程序配置为点击后才能进入当前页面。请注意,在明文修改这类行为之前,扩展程序将按照其manifest.json文件中的声明行事。然而,这种缓解措施并不能保护您的浏览器免受扩展探测的影响。它的作用只是保护用户免受恶意扩展程序的影响。

2019年,CloakX(来自E. Trickel)承诺,通过随机化扩展程序的WAR名以及在DOM中添加HTML元素,来防止扩展程序被指纹追踪。然而,根据Carnus研究人员的行为分析:即使部署了CloakXCarnus也能识别出83.6-87.92%具有行为指纹的唯一性扩展程序。

Cloak Extension处理后的一个扩展程序代码。

对基于Chromium的浏览器来说,目前还没有一个万无一失的解决方案,来彻底防止扩展程序探测。除了浏览器厂商,扩展程序开发者和用户都可以共同承担责任。对扩展程序开发者来说,他们可以尽量避免使用网络可访问资源。如果开发者需要使用一些资源,开发者不应该以可预测的方式修改DOM。开发者可以更倾向于使用浏览器或页面操作来代替内容脚本。

同样,用户也要特别注意那些承诺保护指纹的扩展程序,不要放松警惕。大多时候,这类扩展程序会改变DOM或浏览器对象,在其背后留下痕迹,就像我们在前面的例子中说明的那样。同时,留心那些使用率较低的扩展程序,正如研究显示,网络商城上大多数扩展程序的安装量都不到20。在没有了解它们可以暴露哪些指纹之前,您最好不要使用这类扩展程序。

重要的是,Multilogin对每个浏览器配置文件的扩展程序进行分隔式管理,并对MimicStealthfox浏览器进行隔离。基于Firefox的浏览器Stealthfox,也正如我们之前所说的那样,不存在由于随机化扩展ID而导致的可被指纹追踪的问题。

Multilogin对每个浏览器配置文件的扩展程序进行分隔式管理,并对MimicStealthfox浏览器进行隔离。基于Firefox的浏览器Stealthfox,也不存在由于随机化扩展ID而导致的可被指纹追踪的问题。

我们的研究再次表明,浏览器指纹的风险范围很广,甚至在所谓的反指纹扩展程序等领域。请确保您了解这些风险,以及它们如何与账号隔离、账号管理的业务相关联。欢迎您订阅我们的免费电子邮件更新,了解业内最前沿动态。

[1] LinkedIn, Prohibited Software and Extensions, https://www.linkedin.com/help/linkedin/answer/56347/prohibited-software-and-extensions

[2] Prohitt, A Look at How LinkedIn Exfiltrates Extension Data from Their Users, https://prophitt.me/a-look-at-how-linkedin-exfiltrates-extension-data-from-their-users