瀏覽器擴充功能是幫助使用者自訂和增強網頁瀏覽器的軟體附加元件，非常受歡迎。一些最常用的擴充功能可以找到購物優惠、修復語法和拼寫錯誤、管理密碼或翻譯網頁。可用的擴充類型幾乎是無窮無盡的，其中許多已成為企業和日常用戶不可或缺的工具。

雖然這些擴充功能可以讓網頁瀏覽更容易存取、更有效率、更有價值，但它們並非沒有風險。佐治亞理工學院的最新研究表明，數以千計的瀏覽器擴充功能對網路構成重大威脅隱私，以及數百個自動從網頁內提取私人用戶內容 - 影響數百萬人網路使用者。

由網路安全與隱私學院和電機與電腦工程學院助理教授、博士 Frank Li 領導。學生謝慶格（Qinge Xie）的研究團隊開發了一種新系統，可以監控瀏覽器擴充功能是否以及如何從網頁收集使用者內容。

該團隊還包括網路安全與隱私學院和電腦科學學院的助理教授 Paul Pearce，以及喬治亞理工學院的理學碩士 Manoj Vignesh Kasi Murali。校友們展示了他們的研究論文在Usenix 安全研討會，八月的網路安全會議。

「我們從先前的研究中得知，瀏覽器擴充功能會收集使用者的瀏覽器活動和歷史記錄，但一些最敏感的使用者資料位於網頁內，例如電子郵件、社交媒體資料、醫療記錄、銀行資訊等，」李說。「我們想知道擴展程序是否也在收集個人資料來自這些網頁。

該團隊設計了一個 Web 框架 Arcanum，用於測試擴充功能是否自動從網頁中提取使用者資料。他們使用該系統研究了 Chrome Web Store 中提供的每個功能擴充功能（超過 100,000 個）。具體來說，他們使用該系統來監控擴充功能是否從已知包含敏感資訊的七個流行網站中提取用戶資料：亞馬遜、Facebook、Gmail、Instagram、LinkedIn、Outlook 和 PayPal。

研究人員觀察到，瀏覽器擴展收集潛在敏感和私人資料的情況非常普遍。他們確定了 3,000 多個瀏覽器自動收集用戶特定資料的擴展，影響數千萬用戶。超過 200 個擴充功能直接從網頁取得敏感使用者資料並將其上傳到伺服器。

瀏覽器擴充功能有時確實會出於合法原因收集使用者數據，例如，當收集的數據與擴充功能的功能或目的相關時。因此，識別擴展程式資料收集行為背後的意圖可能具有挑戰性。

為了進一步調查，研究人員選取了一組標記的擴展程序作為樣本，並將每個擴展程序的數據收集行為與其自身的數據收集行為進行了比較。隱私權政策和網上商店描述，應該解釋如何擴大被使用以及它將收集哪些資訊。這使得研究人員能夠調查使用者是否合理地期望擴充功能自動收集他們的資料作為其功能的一部分。

在這個樣本組中，研究人員發現他們都沒有在隱私權政策或網路商店描述中清楚描述自動用戶資料收集。

「不幸的是，擴充功能所依賴的豐富網路瀏覽體驗的功能也可能被濫用來損害用戶隱私，而且可能在用戶不知情或明確同意的情況下，」謝說。「即使數據收集是良性的並且是合法功能所必需的，它也會帶來隱私風險。敏感的用戶數據可以由第三方傳輸和存儲，這可能會進一步共享數據，或者可能在數據洩露期間洩露數據。

研究人員表示，他們的發現表明，像Google這樣的公司可以為擴展程序制定更嚴格的隱私權政策，或更廣泛地執行現有政策。正在收集用戶敏感資料的大公司也可以增加保護其客戶的措施。

「我認為個人用戶不應該承擔擔心隱私或保護資料的負擔，因為他們可能沒有能力或技術知識來弄清楚發生了什麼，」李說。“此類工作的目標是將這些問題帶給能夠影響數據收集的組織或利益相關者，希望能夠指導他們增強用戶隱私。”