据报道,研究人员发现,安装在近百万设备上的浏览器扩展正在绕过关键安全措施,将浏览器变成代为支付服务抓取网站的工具。SecurityAnnex的John Tuckner指出,这些扩展包括245个可用于Chrome、Firefox和Edge的插件,下载量已超过90万。
这些扩展的共同特点是使用了MellowTel-js,一个允许开发者为其扩展程序创收的开源JavaScript库。Tuckner的调查显示,MellowTel与Olostep公司关系密切,该公司自称为“世界上最可靠且成本效益最高的网站抓取API”。
Tuckner认为,这些扩展程序会激活一个websocket连接到AWS服务器,收集用户的位置信息、可用带宽、心跳和状态,进一步削弱隐私保护。此外,这些扩展还会在用户当前浏览的页面中插入一个隐藏的iframe,连接到由AWS服务器指定的网站列表,用户无法察觉这些网站的存在。
这种削弱浏览保护的方式使用户容易受到跨站脚本攻击等风险。MellowTel的创始人则表示,该库的目的是分享用户带宽,提供可靠且成本效益高的数据访问。尽管如此,用户在安装这些扩展时仍面临隐私泄露的风险。