浏览器扩展是帮助用户定制和增强网络浏览器的软件附加组件，非常受欢迎。一些最常用的扩展程序可以查找购物优惠、修复语法和拼写错误、管理密码或翻译网页。可用的扩展类型几乎是无穷无尽的，其中许多已成为企业和日常用户不可或缺的工具。

虽然这些扩展可以使网页浏览更容易访问、更高效、更有价值，但它们并非没有风险。佐治亚理工学院的最新研究表明，数以千计的浏览器扩展对网络构成重大威胁隐私，以及数百个自动从网页内提取私人用户内容 - 影响数百万人互联网用户。

由网络安全与隐私学院和电气与计算机工程学院助理教授、博士 Frank Li 领导。学生谢庆格（Qinge Xie）的研究团队开发了一种新系统，可以监控浏览器扩展是否以及如何从网页收集用户内容。

该团队还包括网络安全与隐私学院和计算机科学学院的助理教授 Paul Pearce，以及佐治亚理工学院的理学硕士 Manoj Vignesh Kasi Murali。校友们展示了他们的研究论文在Usenix 安全研讨会，八月的网络安全会议。

“我们从之前的研究中得知，浏览器扩展程序会收集用户的浏览器活动和历史记录，但一些最敏感的用户数据位于网页内，例如电子邮件、社交媒体资料、医疗记录、银行信息等，”李说。“我们想知道扩展程序是否也在收集个人资料来自这些网页。”

该团队设计了一个 Web 框架 Arcanum，用于测试扩展程序是否自动从网页中提取用户数据。他们使用该系统研究了 Chrome Web Store 中提供的每一个功能扩展（超过 100,000 个）。具体来说，他们使用该系统来监控扩展程序是否从已知包含敏感信息的七个流行网站中提取用户数据：亚马逊、Facebook、Gmail、Instagram、LinkedIn、Outlook 和 PayPal。

研究人员观察到，浏览器扩展收集潜在敏感和私人数据的情况非常普遍。他们确定了 3,000 多个浏览器自动收集用户特定数据的扩展，影响数千万用户。超过 200 个扩展程序直接从网页获取敏感用户数据并将其上传到服务器。

浏览器扩展程序有时确实会出于合法原因收集用户数据，例如，当收集的数据与扩展程序的功能或目的相关时。因此，识别扩展程序数据收集行为背后的意图可能具有挑战性。

为了进一步调查，研究人员选取了一组标记的扩展程序作为样本，并将每个扩展程序的数据收集行为与其自身的数据收集行为进行了比较。隐私政策和网上商店描述，应该解释如何扩大被使用以及它将收集哪些信息。这使得研究人员能够调查用户是否合理地期望扩展程序自动收集他们的数据作为其功能的一部分。

在这个样本组中，研究人员发现他们都没有在隐私政策或网络商店描述中清楚地描述自动用户数据收集。

“不幸的是，扩展程序所依赖的丰富网络浏览体验的功能也可能被滥用来损害用户隐私，而且可能在用户不知情或明确同意的情况下，”谢说。“即使数据收集是良性的并且是合法功能所必需的，它也会带来隐私风险。敏感的用户数据可以由第三方传输和存储，这可能会进一步共享数据，或者可能在数据泄露期间泄露数据。”

研究人员表示，他们的发现表明，像谷歌这样的公司可以为扩展程序制定更严格的隐私政策，或更广泛地执行现有政策。正在收集用户敏感数据的大公司也可以增加保护其客户的措施。

“我认为个人用户不应该承担担心隐私或保护数据的负担，因为他们可能没有能力或技术知识来弄清楚发生了什么，”李说。“此类工作的目标是将这些问题带给能够影响数据收集的组织或利益相关者，希望能够指导他们增强用户隐私。”