近百万浏览器被扩展程序变为网站爬虫工具 用户隐私与安全遭侵蚀

安全研究人员近日发现，245款浏览器扩展程序在全球近90.9万个设备上被安装，正在悄悄削弱关键的安全机制，将用户的Chrome、Firefox和Edge浏览器变为网站爬虫，用于为名为Olostep的商业服务抓取网页数据。这些扩展程序普遍嵌入了一个名为MellowTel-js的开源库，该库不仅会打开用户看不到的隐藏网页iframe，还能绕过服务器安全头信息注入内容，甚至通过WebSocket将用户位置、带宽等信息发送至AWS服务器。研究指出，这种行为不仅侵犯隐私，还大幅提高了跨站脚本攻击等网络风险。目前约有12个Chrome扩展、8个Edge扩展和2个Firefox扩展因恶意行为被下架或移除相关代码，但大多数仍在运行，令人担忧。事件让人回忆起2019年Nacho Analytics大规模扩展泄露事件，当时数百万用户的浏览历史、税务信息、医疗记录甚至企业机密都被收集并外泄。