사용자가 웹 브라우저를 사용자 정의하고 향상시키는 데 도움이 되는 소프트웨어 추가 기능인 브라우저 확장은 매우 인기가 높습니다.가장 많이 사용되는 확장 프로그램 중 일부는 쇼핑 상품 찾기, 문법 및 오타 수정, 비밀번호 관리, 웹페이지 번역 등이 있습니다.사용 가능한 확장 유형은 거의 끝이 없으며, 그 중 상당수는 기업과 일반 사용자에게 없어서는 안 될 도구가 되었습니다.

이러한 확장 프로그램을 사용하면 웹 검색에 대한 접근성, 생산성, 보람을 높일 수 있지만 위험이 없는 것은 아닙니다.Georgia Tech의 새로운 연구에 따르면 수천 개의 브라우저 확장 프로그램이 심각한 위협이 되는 것으로 나타났습니다.은둔, 수백 개가 웹페이지 내에서 개인 사용자 콘텐츠를 자동으로 추출하여 수백만 개에 영향을 미칩니다.인터넷 사용자.

사이버 보안 및 개인 정보 보호 대학과 전기 및 컴퓨터 공학 대학의 조교수이자 박사인 Frank Li가 주도합니다.연구원 팀인 Qinge Xie 학생은 브라우저 확장 프로그램이 웹 페이지에서 사용자 콘텐츠를 수집하는지 여부와 방법을 모니터링하는 새로운 시스템을 개발했습니다.

이 팀에는 사이버 보안 및 개인 정보 보호 대학과 컴퓨터 과학 대학의 조교수인 Paul Pearce와 Georgia Tech M.S.의 Manoj Vignesh Kasi Murali도 포함되어 있습니다.졸업생, 그들의 발표연구 논문에Usenix 보안 심포지엄, 8월 사이버 보안 컨퍼런스.

"우리는 이전 연구를 통해 브라우저 확장 프로그램이 사용자의 브라우저 활동과 기록을 수집한다는 것을 알고 있지만 가장 민감한 정보 중 일부는사용자 데이터Li는 "이메일, 소셜 미디어 프로필, 의료 기록, 은행 정보 등과 같은 웹페이지 내에 위치합니다"라고 말했습니다. "우리는 확장 프로그램도 수집하는지 알고 싶었습니다.개인 데이터이 웹페이지에서요."

팀은 확장 프로그램이 웹 페이지에서 사용자 데이터를 자동으로 추출하는지 테스트하기 위해 웹 프레임워크인 Arcanum을 설계했습니다.그들은 시스템을 사용하여 Chrome 웹 스토어에서 사용할 수 있는 100,000개 이상의 모든 기능 확장을 연구했습니다.특히 그들은 시스템을 사용하여 민감한 정보가 포함된 것으로 알려진 7개의 인기 웹사이트(Amazon, Facebook, Gmail, Instagram, LinkedIn, Outlook 및 PayPal)에서 확장 프로그램이 사용자 데이터를 추출했는지 여부를 모니터링했습니다.

연구원들은 잠재적으로 민감한 개인 데이터의 브라우저 확장 수집이 널리 퍼져 있음을 관찰했습니다.그들은 3,000명 이상을 확인했습니다.브라우저사용자별 데이터를 자동으로 수집하여 수천만 명의 사용자에게 영향을 미치는 확장 프로그램입니다.200개 이상의 확장 프로그램이 웹페이지에서 민감한 사용자 데이터를 직접 가져와 서버에 업로드했습니다.

브라우저 확장 프로그램은 때때로 합법적인 이유로 사용자 데이터를 수집합니다. 예를 들어, 수집된 데이터가 확장 프로그램의 기능이나 목적과 관련된 경우입니다.이러한 이유로 확장 프로그램의 데이터 수집 동작 뒤에 숨은 의도를 식별하는 것이 어려울 수 있습니다.

추가 조사를 위해 연구원들은 플래그가 지정된 확장 프로그램의 샘플 그룹을 선택하고 각 확장 프로그램의 데이터 수집 동작을 해당 확장 프로그램과 비교했습니다.개인 정보 보호 정책및 웹 스토어 설명은확대사용되며 어떤 정보를 수집할 것인지.이를 통해 연구원들은 사용자가 확장 프로그램이 기능의 일부로 데이터를 자동으로 수집할 것이라고 합리적으로 기대하는지 여부를 조사할 수 있었습니다.

이 샘플 그룹에서 연구원들은 그들 중 어느 누구도 개인 정보 보호 정책이나 웹 스토어 설명에 자동화된 사용자 데이터 수집을 명확하게 설명하지 않는다는 사실을 발견했습니다.

Xie는 "안타깝게도 웹 브라우징 경험을 풍부하게 하기 위해 확장 프로그램이 사용하는 동일한 기능이 남용되어 사용자의 개인 정보를 침해할 수 있으며 잠재적으로 사용자가 알지 못하거나 명시적인 동의 없이도 사용할 수 있습니다"라고 말했습니다."데이터 수집이 적법하고 합법적인 기능을 위해 필요한 경우에도 개인 정보 보호 위험이 발생합니다. 민감한 사용자 데이터는 제3자에 의해 전송 및 저장될 수 있으며, 제3자는 데이터를 추가로 공유하거나 데이터 유출 중에 데이터가 유출될 수 있습니다."

연구원에 따르면, 그들의 연구 결과는 Google과 같은 회사가 확장 프로그램에 대해 더 엄격한 개인 정보 보호 정책을 개발하거나 기존 정책을 더 광범위하게 시행할 수 있음을 시사합니다.사용자의 민감한 데이터를 수집하는 주요 기업도 고객을 보호하기 위한 조치를 강화할 수 있습니다.

"개인 사용자가 무슨 일이 일어나고 있는지 파악할 수 있는 능력이나 기술 지식이 없을 수 있기 때문에 개인 정보 보호나 데이터 보호에 대해 걱정해야 하는 부담을 져야 한다고 생각하지 않습니다."라고 Li는 말했습니다."이러한 유형의 작업의 목표는 데이터 수집에 영향을 미칠 수 있는 조직이나 이해관계자에게 이러한 문제를 알리고 사용자 개인정보 보호를 강화하는 데 도움이 될 수 있기를 바라는 것입니다."