網頁瀏覽器擴展應用最初的立意很棒,藉由讓用戶安裝各種自己需要的外掛來讓瀏覽器變得更個人化。但是,瀏覽器擴展程式可以在一次更新中從實用變為危險,可能會將你的瀏覽習慣和某些個人數據開放給未知的第三方開發人員或公司。儘管 Google、Microsoft 和其他瀏覽器開發人員盡了最大努力,舊事還是一遍又一遍地重演。接下來我們會講講這問題如何不斷發生,以及你可以採取哪些措施來保護自己。
瀏覽器擴展應用是如何演變成惡意軟體溫床?
瀏覽器擴展程式絕大多數是免費安裝的。事實上,付費擴展非常罕見,Google 甚至在 2020 年關閉了 Chrome 線上應用商店的支付系統,將開發人員推向其他支付系統。確實存在的少數高級擴展通常具有一定程度的免費功能,或者它們作為一些較大的付費服務的元件存在。例如,Microsoft 編輯器可以免費修復你的一些拼寫錯誤和語法錯誤,但更高級的檢查和寫作技巧需要付費訂閱 Microsoft 365。對於像 ProtonVPN 這樣的服務,擴展只是另一個用戶選項。
免費的瀏覽器擴展通常依靠贊助、開放原始碼貢獻或聯盟收入來補貼開發所涉及的成本和時間。但是,有時開發人員會尋求在不向使用者收費的情況下產生額外收入的方法,這就是麻煩開始的起點。
開始向下沉淪
許多擴展程式從第三方分析和廣告平台賺錢。開發者可以將這些平台添加到擴展程式中,然後擴展程式將會記錄用戶的使用數據(例如瀏覽習慣)或在瀏覽器中的某個位置顯示廣告,廣告平台會根據用戶數量和收集到的數據量向開發者支付報酬。有些擴展應用只是直接出售給廣告或數據公司,開發者 / 公司以你的隱私來換取穩定的收入,而且這個現象並不少見。
Google 不會完全阻止 Chrome 網路應用商店的擴展程式這種數據囤積行為。帶有廣告的擴展程式不能照著瀏覽器或電腦等級的彈出視窗那樣走,並且它們必須說明廣告的來源(例如,導入的廣告旁邊可能會顯示「來自 xxxxx 擴展程式」)。收集數據的擴展程式必須具有隱私政策,說明獲取哪些數據以及與誰共享。此外,當擴展程式掛到 Chrome 線上應用商店時,開發者必須為每個許可提供說明。只要擴展程式在為第三方收集數據方面是透明的,通常會通過允許。
但是,所有這些政策都需要一定程度的強制執行,這表示惡意擴展程式可能會在 Google 或其他瀏覽器供應商注意到並採取行動之前收集一些用戶數據。2019 年,Avast 和 AVG 的線上安全擴展程式被發現記錄網站訪問數據,並通過 Avast 的子公司 Jumpshot 將其出售給 Home Depot、Google、Pepsi 和其他公司。2016年,很流行的 Web of Trust 瀏覽器擴展程式在自稱匿名的情況下出售可識別的用戶數據。
為什麼擴展程式特別棘手?
瀏覽器擴展遠非唯一可能侵犯我們隱私的軟體,但它們是最難防範的軟體之一。這些應用中的許多人需要訪問你到過的每個網頁,因為這就是它們的運作方式,這也是他們新增彈出視窗、新功能表、檢查文字欄位中的語法或執行其他操作的唯一途徑。其中一些可以僅限於幾個網站或者僅在需要時打開,但其中大多數需要廣泛的訪問許可才能像行銷中那樣發揮作用。
如果你安裝了任何瀏覽器擴展程式,請確保它們來自你完全可以信任的開發人員或公司。你可能還需要在有餘裕的時候考慮透過捐贈、高級功能訂閱或任何其他可用的方法來支援你最喜歡的瀏覽器擴展程式。如果分析公司成為擴展程式可以支付開發成本的唯一方式,那麼擴展程式環境將比現在更不安全。