周五，互联网上传出了Google Chrome扩展正在出售并注入广告软件的消息。但鲜为人知的更重要的事实是，你的扩展正在监视你，并将你的浏览历史出售给可疑的公司。HTG正在进行调查。

TL；DR版本：

Chrome、Firefox，可能还有其他浏览器的浏览器插件会跟踪你访问的每个页面，并将数据发回给第三方公司，后者会为你的信息付费。 其中一些附加组件还会在您访问的页面中插入广告，Google出于某种原因特别允许这样做，只要它是“明确披露的”。 数以百万计的人正以这种方式被追踪，而他们却一无所知。

我们正式称它为间谍软件吗？井…。事情并没有那么简单。维基百科将间谍软件定义为“在个人或组织不知情的情况下帮助收集信息，并可能在未经消费者同意的情况下将此类信息发送给另一个实体的软件”。这并不意味着所有收集数据的软件都一定是间谍软件，也不意味着所有将数据发回服务器的软件都一定是间谍软件。

但是，如果扩展的开发人员特意隐瞒这样一个事实，即您访问的每个页面都被存储并发送给一家公司，该公司为这些数据支付费用，同时将其作为“匿名使用统计数据”隐藏在设置中，那么至少就有问题了。任何合理的用户都会认为，如果开发人员想要跟踪使用统计数据，他们只会跟踪扩展本身的使用情况--但事实恰恰相反。这些扩展中的大多数都在跟踪您除了使用该扩展之外所做的所有其他事情。他们只是在追踪你。

这就更成问题了，因为他们称之为“匿名使用统计”；“匿名”这个词意味着不可能找出该数据属于谁，就好像他们正在清除数据中的所有信息一样。但他们不是。是的，当然，他们使用匿名令牌来代表你，而不是你的全名或电子邮件，但你访问的每个页面都与该令牌捆绑在一起。只要您安装了该扩展。

跟踪任何人的浏览历史足够长的时间，你就可以准确地找出他们是谁。

你有多少次打开过自己的Facebook个人资料页面，或者你的Pinterest、Google+或其他页面？你有没有注意到URL是如何包含你的名字或标识你的东西的？即使你从未访问过这些网站，搞清楚你是谁也是可能的。

我不知道你怎么想的，但是我的浏览历史是我的，除了我，没有人可以访问它。为什么电脑有密码，每个5岁以上的人都知道删除浏览器历史记录，这是有原因的。你在互联网上访问的内容是非常私人的，除了我之外，任何人都不应该有我访问的页面列表，即使我的名字与这个列表没有明确的联系。

我不是律师，但Google开发者计划针对Chrome扩展的政策明确规定，扩展开发者不应被允许发布我的任何个人信息：

我的浏览历史记录怎么就不是个人信息呢？它绝对不能公开访问！

是的，这些扩展中的许多也会插入广告

大量的扩展将广告注入到您访问的许多页面中，这使问题变得更加复杂。这些扩展只是把他们的广告放在他们随机选择放到页面上的任何地方，他们只需要包括一小段文本来标识广告来自哪里，大多数人会忽略这一点，因为大多数人甚至都不看广告。

相关：网站在线跟踪您的多种方式

当你处理广告时，也会涉及到cookie。(值得注意的是，这个网站是由广告支持的，广告商会把Cookie放到你的硬盘上，就像互联网上的每个网站一样。)。我们认为饼干不是什么大事，但如果你真的做了，它们就很容易处理了。

如果你相信的话，广告软件扩展实际上不是什么问题，因为他们的所作所为对扩展的用户来说是非常明显的，然后他们就可以对此引起轩然大波，并试图让开发人员停下来。我们当然希望谷歌和Mozilla改变他们荒谬的政策，禁止这种行为，但我们不能帮助他们获得常识。

另一方面，跟踪是秘密进行的，或者说本质上是秘密的，因为他们试图在扩展的描述中隐藏他们用法律术语所做的事情，没有人会滚动到自述文件的底部来确定该扩展是否会跟踪人员。

这种间谍活动隐藏在EULA和隐私政策的背后

这些扩展被“允许”从事此跟踪行为，因为它们在其描述页面上或在其选项面板中的某个点上“公开”它。例如，拥有一百万用户的HoverZoom扩展在其最底部的描述页面中写道：

在这一描述中，它到底在哪里解释了他们将跟踪你访问的每个页面，并将URL发送回第三方，第三方为获取你的数据付费？事实上，他们到处声称自己是通过附属链接赞助的，完全忽视了他们正在监视你的事实。是的，没错，他们也在到处投放广告。但是，你更关心的是哪一个呢，页面上出现的广告，还是他们拿走你的整个浏览历史并将其发回给其他人？

他们之所以能够幸免于难，是因为他们的选项面板中隐藏了一个很小的复选框，上面写着“启用匿名使用统计”，你可以禁用这个“功能”-尽管值得注意的是，它是默认选中的。

这一特定的扩展已经有了很长的不良行为历史，可以追溯到相当长的一段时间。开发人员最近被发现正在收集浏览数据，包括表单数据…。但他去年也被抓到把你输入的数据卖给另一家公司。他们现在增加了隐私政策，更深入地解释了正在发生的事情，但如果你必须阅读隐私政策才能发现你被监视了，你就有另一个问题了。

总而言之，仅这一个扩展就监视了一百万人。这只是这些扩展中的一个-还有更多的扩展在做同样的事情。

分机可以在您不知情的情况下转手或更新

绝对没有办法知道扩展何时被更新为包含间谍软件，而且由于许多类型的扩展需要大量的权限才能正常运行，然后才能变成注入广告的间谍工具，所以当新版本发布时不会提示你。

更糟糕的是，在过去的一年里，这些扩展中的许多都已经易手了-任何写过扩展的人都被要求将他们的扩展出售给可疑的个人，然后他们会用广告感染你或监视你。因为这些扩展不需要任何新的权限，所以您永远没有机会在您不知情的情况下找出哪些扩展添加了秘密跟踪。

当然，在将来，您要么应该完全避免安装扩展或插件，要么就应该非常小心地安装哪些扩展或插件。如果他们要求您计算机上所有内容权限，您应该单击取消按钮并运行。

带有远程启用开关的隐藏跟踪码

事实上，还有很多其他扩展都内置了完整的跟踪代码--但该代码目前已被禁用。这些扩展每隔7天就会发回服务器以更新其配置。这些工具被配置成发回更多的数据-它们精确地计算您打开每个选项卡的时间，以及您在每个网站上花费的时间。

我们测试了其中一个名为Autocopy Original的扩展，欺骗它认为应该启用跟踪行为，然后我们可以立即看到大量数据发送回他们的服务器。*Chrome Store中有73个这样的扩展，Firefox Add-ons商店中也有一些。他们很容易辨认，因为他们都来自“wips.com”或“wips.com合作伙伴”。

想知道为什么我们担心跟踪甚至还没有启用的代码吗？因为他们的描述页面对跟踪代码只字不提--在他们的每个分机上都隐藏着一个复选框。所以人们会假设他们来自一家高质量的公司来安装这些扩展。

启用追踪码只是个时间问题。

调查这种令人敬畏的间谍扩展

普通人甚至不会知道这种间谍活动正在进行-他们看不到对服务器的请求，他们甚至没有办法知道它正在发生。这百万用户中的绝大多数不会受到…的任何影响。只是他们的个人数据被盗了。那么你自己是怎么解决这个问题的呢？它叫小提琴手。

Fiddler是一个Web调试工具，它充当代理并缓存所有请求，这样您就可以看到正在发生的事情。这就是我们使用的工具--如果你想在家里复制，只需安装像Hover Zoom这样的间谍扩展之一，你就会开始看到两个类似于t.searchelper.com和api28.webovernet.com的网站请求，你每浏览一个页面就会看到两个类似于t.searchelper.com和api28.webovernet.com的请求。如果检查检查员标签，您会看到一堆base64编码的文本…。事实上，由于某些原因，它已经被Base64编码了两次。(如果您希望在解码前获得完整的示例文本，我们将其保存在此处的文本文件中)。

一旦您成功地解码了该文本，您就会看到到底发生了什么。他们会发回您正在访问的当前页面、前一页、标识您的唯一ID以及其他一些信息。这个示例非常可怕的一点是，我当时在我的银行站点上，该站点是使用HTTPS的SSL加密的。没错，这些扩展仍然在应该加密的站点上跟踪你。

您可以将api28.webovernet.com和另一个站点放入您的浏览器中查看它们的走向，但我们将省去您的悬念：它们实际上是一家名为Similar Web的公司的API重定向，该公司是众多进行此类跟踪并出售数据的公司之一，这样其他公司就可以窥探他们的竞争对手在做什么。

如果您是喜欢冒险的人，您可以通过打开Chrome：//Extensions页面并单击开发人员模式，然后“检查视图：HTML/Backround.html”或告诉您检查扩展的类似文本，很容易找到相同的跟踪代码。这将让您看到该扩展一直在后台运行的内容。

单击查看后，您将立即看到源文件和所有其他可能对您来说是希腊语的内容的列表。本例中最重要的是名为tr_Advanced.js和tr_simple.js的两个文件。这些文件包含跟踪代码，可以肯定地说，如果您在任何扩展名中看到这些文件，您就是在被监视，或者在某个时候会被监视。当然，有些扩展包含不同的跟踪代码，所以仅仅因为您的扩展没有这些，并不意味着什么。骗子往往很狡猾。

您可能会注意到，右侧的URL与前面的URL不完全相同。实际的跟踪源代码相当复杂，而且每个扩展似乎都有不同的跟踪URL。

阻止扩展模块自动更新(高级)

如果您有一个您知道并信任的扩展，并且您已经验证了它不包含任何不好的东西，那么您可以确保该扩展不会使用间谍软件秘密更新您的信息-但它确实是手动的，而且可能不是您想要做的。

如果您仍然想这样做，请打开Extensions面板，找到扩展的ID，然后转到%localappdata%\Google\Chrome\User Data\Default\Extensions并找到包含您的扩展的文件夹。更改清单.json中的update_url行，将clients2.google.com替换为localhost。*注意：我们还无法使用实际的扩展名对其进行测试，但它应该可以工作。

对于火狐来说，这个过程要容易得多。转到Add-ons屏幕，单击菜单图标，取消选中“自动更新Add-ons”。

那么，这会让我们处于什么境地呢？

我们已经确定，大量扩展正在更新，包括跟踪/间谍代码、插入广告，以及谁知道还有什么。它们被卖给了不值得信赖的公司，或者开发商被以轻松赚钱的承诺买了下来。

一旦你安装了一个插件，你就无法知道它们会不会不包括间谍软件。但我们所知道的是，有很多插件和扩展都在做这些事情。

人们一直要求我们列出一个列表，而我们一直在调查，我们发现有太多的扩展在做这些事情，我们不确定我们能不能列出所有这些扩展的完整列表。我们将把它们的列表添加到与本文相关的论坛主题中，这样我们就可以让社区帮助我们生成更大的列表。

查看完整列表或给我们反馈