浏览器扩展程序的危险性不亚于常规应用程序,而它们与人们日常使用工具的深度集成,往往让人误以为其无害。近日曝光的案例显示:超过200款Chrome及其他主流浏览器扩展正被用于“爬取”网站内容——这实质上将浏览器用户变成了免费数据中心,其资源被转售牟利。
安全机构Secure Annex(经由Ars Technica发现)发布的报告详细记录了MellowTel系统的运作机制:首先,合法扩展开发者被提供一款工具,用于将软件库嵌入扩展程序;其次,该软件库会以用户难以察觉的方式占用浏览器“闲置带宽”。
这些扩展程序通过精妙手段后台扫描并爬取网页内容,其方式类似Google等搜索引擎,但关键区别在于它们绕过了robots.txt协议和安全标头等基础防护措施。这不仅突破了网络基本安全防线,更在用户不知情的情况下消耗其电脑算力、带宽和电力——研究人员称此举将终端用户的浏览器变成了“傀儡机”。
被爬取的数据(在AI训练等领域极具价值)最终被收集出售。扩展开发者无论是否知情均可获得报酬,软件库创建者自然也不例外。目前已有数百款Chrome、Edge和Firefox扩展被证实使用MellowTel,部分因恶意软件问题(可能与报告无关)下架或通过更新移除了该库。研究员John Tucker提供了最新扩展清单及各大应用商店链接。
值得玩味的是,尽管这种行为与僵尸网络如出一辙,但从法律角度难以界定其恶意属性——用户自行安装扩展(几乎不会阅读细则),开发者则嵌入了开源库。这与网页广告收集用户数据的行为本质上相差无几。但必须指出,这种“占用闲置带宽”的做法已逾越道德边界:用户无论是否使用都需为带宽付费,尤其在移动端按量计费时更为明显。未经明确同意占用他人带宽与算力,与当年利用他人电脑挖矿的扩展程序行为无异。
安全隐患更不容忽视。Tucker指出这些扩展不仅爬取数据,还收集包括地理位置在内的用户信息,并通过不安全连接传输至远程服务器。虽然恶意扩展并非新事物,但此类数据爬取行为未来恐将愈演愈烈。
