小心浏览器插件窃取你的隐私
这篇讲的是一个关于浏览器插件隐私安全的踩坑经历。作者发现,自己使用了一年多的知名鼠标手势插件 crxMouse Chrome Gestures,竟然在后台窃取用户的浏览历史。 问题如何发现呢?作者通过 Wireshark 抓包,发现该插件持续向外部服务器(如 s808.searchelper.com)发送加密的 POST 请求。解密后可以看到,请求中携带了当前页面的 URL、来源页面(Referrer)乃至内网地址等敏感信息,这意味着用户的浏览轨迹被完整记录并外传。 深入分析其 JavaScript 代码后,作者找到了根源:插件在初始化时生成了用户ID,并在多个浏览器事件(如标签页更新、切换)触发时,调用监听函数将数据经双重 Base64 编码后发送出去。这种隐蔽的实现,使得普通用户很难察觉。 最终,作者卸载了这款插件,并在应用商店更换了其他同类工具。他的结论是,虽然开发者盈利不易,但窃取隐私的行为必须抵制。这个案例提醒我们,对于浏览器插件这类拥有较高权限的工具,需要多一份审视和警惕。