上周五，随着谷歌Chrome扩展被**并注入广告软件的消息在互联网上引起了轰动。但一个鲜为人知且更重要的事实是，你的扩展正在监视你，并将你的浏览历史**给一些可疑的公司。HTG调查。

TL；DR版本：

• Chrome、Firefox和其他浏览器的浏览器加载项都在跟踪你访问的每一个页面，并将这些数据发送回第三方公司，后者为你的信息付费。
• 其中一些附加组件还向你访问的页面中注入广告，谷歌出于某种原因特别允许这样做，只要它是“明确披露的”。
• 数以百万计的人被这样追踪，他们一点线索也没有。

我们正式称之为间谍软件吗？嗯…没那么简单。维基百科对间谍软件的定义是“在不知情的情况下帮助收集个人或组织信息的软件，可以在未经消费者同意的情况下将此类信息发送给其他实体”。这并不意味着所有收集数据的软件都一定是间谍软件，也不意味着所有将数据发送回服务器的软件都一定是间谍软件。

但是，当一个扩展的开发人员千方百计隐藏这样一个事实，即你访问的每一个页面都被存储并发送给一个公司，而这个公司为这些数据付费，同时将这些数据作为“匿名使用统计数据”埋在设置中时，至少存在一个问题。任何合理的用户都会假设，如果开发人员想要跟踪使用统计数据，他们只会跟踪扩展本身的使用情况——但事实恰恰相反。大多数扩展都在跟踪除使用扩展以外的所有其他操作。他们只是在跟踪你。

这就更成问题了，因为他们称之为“匿名使用情况统计”；单词“匿名”意味着不可能找出数据属于谁，就好像他们正在清除数据中的所有信息一样。但他们不是。是的，当然，他们使用匿名令牌来代表你，而不是你的全名或电子邮件，但你访问的每一页都与该令牌绑定。只要你安装了那个扩展。

追踪任何人的浏览历史足够长的时间，你就能知道他们到底是谁。

你打开过多少次自己的Facebook个人资料页面，或Pinterest、Google+或其他页面？你有没有注意到这个网址是如何包含你的名字或是你的身份的？即使你从未访问过这些网站中的任何一个，找出你是谁也是可能的。

我不知道你的情况，但我的浏览历史是我的，除了我谁也不能访问。电脑有密码，而5岁以上的人都知道删除他们的浏览器历史记录，这是有原因的。你在互联网**问的内容是非常私人的，除了我之外，没有人应该拥有我访问的页面列表，即使我的名字与列表没有特别关联。

我不是律师，但谷歌针对Chrome扩展的开发者计划政策明确规定，不应允许扩展开发者发布我的任何个人信息：

We don’t allow unauthorized publishing of people’s private and confidential information, such as credit card numbers, government identification numbers, driver’s and other license numbers, or any other information that is not publicly accessible.

我的浏览记录怎么不是个人信息？绝对不能公开访问！

是的，很多扩展插件也会**广告

大量的扩展将广告注入到您访问的许多页面中，这使得问题更加复杂。这些扩展只是把他们的广告放在他们随机选择放在页面的任何地方，而且他们只需要包含一小段文字来标识广告的来源，大多数人都会忽略，因为大多数人甚至不看广告。

相关：网站在网上追踪你的多种方式

当你处理广告时，也会涉及到饼干。（值得注意的是，这个网站是广告支持的，广告商把cookies放在你的硬盘上，就像互联网上的每一个网站一样。）我们不认为cookies是一个巨大的交易，但如果你这样做了，它们是很容易处理的。

如果你能相信的话，广告软件的扩展实际上不是什么问题，因为他们所做的对扩展的用户来说是非常明显的，然后用户就可以对此大吵大闹，并试图让开发者停止。我们当然希望谷歌和Mozilla改变他们荒谬的政策来禁止这种行为，但我们不能帮助他们获得常识。

另一方面，跟踪是秘密进行的，或者说本质上是秘密的，因为他们试图在扩展的描述中用法律术语隐藏他们正在做的事情，没有人滚动到自述文件的底部来判断扩展是否会跟踪人。

这种间谍活动隐藏在EULA和隐私政策背后

这些扩展“被允许”参与这种跟踪行为，因为它们在其描述页上或在其选项面板的某个点上“披露”了它。例如，拥有一百万用户的HoverZoom扩展在其描述页面的最底部显示以下内容：

Hover Zoom uses anonymous usage statistics. This can be disabled in the opti*** page without losing any features as well. By leaving this feature enabled, the user authorize the collection, transfer and use of anonymous usage data, including but not limited to transferring to third parties. 

在这个描述中，他们到底在哪里解释了他们将跟踪你访问的每一个页面，并将URL发送回第三方，第三方为你的数据付费？事实上，他们到处宣称他们是通过联盟链接赞助的，完全忽略了他们监视你的事实。是的，没错，他们还在到处投放广告。但是，你更关心的是哪一个，一个广告出现在网页上，还是他们把你的浏览历史记录全部拿出来，然后把它发给别人？

他们之所以能够侥幸逃脱，是因为他们的选项面板中有一个小小的复选框，上面写着“启用匿名使用情况统计”，你可以禁用这个“功能”——不过值得注意的是，它默认为选中状态。

这个特殊的扩展有着长期的不良行为历史，可以追溯到相当长的一段时间。这位开发人员最近被抓到收集浏览数据，包括表单数据……但他去年也被抓到向另一家公司**你输入的数据。他们现在增加了一个隐私政策，可以更深入地解释正在发生的事情，但是如果你必须阅读一个隐私政策来找出你被监视了，那你就有另一个问题了。

综上所述，仅这一次就有100万人被监视。这只是其中的一个扩展——还有很多人在做同样的事情。

扩展可以在您不知情的情况下易手或更新

绝对没有办法知道何时更新了一个扩展以包含间谍软件，而且由于许多类型的扩展甚至需要大量的权限才能在第一时间正常运行，然后才变成广告注入的间谍软件，所以在新版本发布时不会提示您。

更糟糕的是，这些扩展在过去的一年里已经易手了——任何曾经写过扩展的人都被大量的请求所淹没，要求他们把扩展卖给阴暗的人，然后这些人就会用广告感染你或者监视你。由于扩展不需要任**的权限，您将永远没有机会在不知情的情况下找出哪些扩展添加了秘密跟踪。

当然，在将来，您应该避免完全安装扩展或插件，或者非常小心安装哪些扩展或插件。如果他们要求对您计算机上的所有内容都有权限，您应该单击“取消”按钮并运行。

带远程启用开关的隐藏跟踪代码

事实上，还有很多其他的扩展，都内置了完整的跟踪代码，但是这些代码现在已经被禁用了。这些扩展每隔7天ping回服务器以更新其配置。它们被配置成发送更多的数据回来-它们精确地计算你打开每个选项卡的时间，以及你在每个站点上花费的时间。

我们测试了其中一个名为Autocopy Original的扩展，通过诱使它认为应该启用跟踪行为，我们能够立即看到大量数据被发送回服务器。Chrome商店中有73个这样的扩展，Firefox插件商店中也有一些。它们很容易辨认，因为它们都来自wips.com“或”wips.com合作伙伴”。

想知道为什么我们担心跟踪甚至还没有启用的代码吗？因为他们的描述页面没有提到任何关于跟踪代码的信息-它作为复选框隐藏在每个扩展上。因此，人们安装的扩展，假设他们是从一个高质量的公司。

启用跟踪代码只是时间问题。

调查这起间谍案很糟糕

普通人甚至不会知道这种间谍活动正在进行——他们看不到对服务器的请求，他们甚至没有办法知道它正在发生。这百万用户中的绝大多数不会受到任何影响……除了他们的个人数据被窃取。那你自己怎么想出来的？它叫小提琴手。

Fiddler是一个web调试工具，它充当代理并缓存所有请求，这样您就可以看到发生了什么。这是我们使用的工具-如果你想在家里复制，只要安装一个像Hover Zoom这样的间谍扩展，你就会看到两个类似于t的请求。searchelper.com和api28。网站overnet.com对于您查看的每一页。如果你检查Inspectors标签，你会看到一堆base64编码的文本…事实上，出于某种原因，它已经被base64编码了两次。（如果您想在解码前获得完整的示例文本，我们将其存储在文本文件中）。

一旦你成功地解码了这段文字，你就会明白到底发生了什么。他们正在发回您当前访问的页面、上一页、唯一标识您的ID以及其他一些信息。这个例子非常可怕的一点是，我当时在我的银行网站上，这个网站是用HTTPS加密的SSL。没错，这些扩展仍然在跟踪你的网站，应该加密。

s=1809&md=21&pid=mi8PjvHcZYtjxAJ&sess=23112540366128090&sub=chrome &q=https%3A//secure.bankofamerica.com/login/sign-in/signOnScreen.go%3Fmsg%3DInvalidOnlineIdException%26request_locale%3Den-us%26lpOlbResetErrorCounter%3D0&hreferer=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&prev=https%3A//secure.bankofamerica.com/login/sign-in/entry/signOn.go&tmv=4001.1&tmf=1&sr=https%3A//secure.bankofamerica.com/login/sign-in/signOn.go

你可以放弃api28。网站overnet.com然后把另一个网站放到你的浏览器中，看看他们的领先地位，但我们可以省去你的悬念：它们实际上是一家名为similareweb的公司的API重定向，这家公司是许多进行这种跟踪的公司之一，并**数据，以便其他公司可以监视他们的竞争对手在做什么。

如果你是一个喜欢冒险的类型，你可以很容易地找到这个相同的跟踪代码打开你的chrome://扩展页单击开发人员模式，然后单击“检查视图：html”/背景.html“或类似的文本，告诉你检查扩展。这将让您看到扩展一直在后台运行的内容。

一旦你点击检查，你会立即看到一个源文件列表和其他各种东西，你可能会觉得希腊。本例中最重要的是两个名为tr的文件_高级.js和tr_简单.js. 这些文件包含跟踪代码，可以肯定地说，如果您在任何扩展名中看到这些文件，您正在被监视，或者将在某个时候被监视。当然，有些扩展包含不同的跟踪代码，所以仅仅因为您的扩展没有这些代码，并不意味着什么。骗子往往很狡猾。

您可能会注意到，右侧的URL与前面的URL不太一样。实际的跟踪源代码相当复杂，似乎每个扩展都有不同的跟踪URL。

防止扩展自动更新（高级）

如果你有一个你知道并信任的扩展，并且你已经验证了它没有包含任何不好的东西，你可以确保这个扩展永远不会秘密地用间谍软件更新你-但是它确实是手动的，可能不是你想要做的。

如果仍要这样做，请打开“扩展”面板，找到扩展的ID，然后转到%localappdata%\google\chrome\User Data\default\Extensi***并找到包含扩展的文件夹。更改清单.json替换客户端2。谷歌网站使用localhost。注意：我们还不能用一个实际的扩展来测试它，但是它应该可以工作。

对于Firefox来说，这个过程要简单得多。转到加载项屏幕，单击菜单图标，然后取消选中“自动更新加载项”。

那么这会给我们留下什么呢？

我们已经确定，大量的扩展正在更新，包括跟踪/间谍代码、注入广告，谁知道还有什么。他们被卖给了不值得信任的公司，或者开发商被轻易地收买了。

一旦你安装了一个附加组件，就没有办法知道他们不会包括间谍软件。我们只知道有很多附加组件和扩展在做这些事情。

人们一直在要求我们提供一个列表，在我们调查的过程中，我们发现有这么多的扩展在做这些事情，我们不确定我们是否能把所有的扩展都列出来。我们将把他们的列表添加到与本文相关的论坛主题中，这样我们就可以让社区帮助我们生成一个更大的列表。

查看完整列表或给我们您的反馈