閱讀筆記｜287 款 Chrome 擴充功能在偷看 3740 萬用戶的上網紀錄？一份技術性極高但必讀的揭露報告

本篇文章更新時間：2026/02/12
如有資訊過時或語誤之處，歡迎使用 Contact 功能通知或向一介資男的 LINE 社群反應。
如果本站內容對你有幫助，歡迎贊助支持 。

你以為的「免費」其實是代價高昂的監控：讀《Spying Chrome Extensions》有感

編輯前言：這篇來自 Q-Continuum 的研究，以可重現的自動化掃描方法，揭露 287 個 Chrome 擴充功能正在外洩使用者瀏覽紀錄，影響超過 3740 萬人。它不只是一份技術報告，更是一次狠狠提醒：免費軟體如果不是開源，你就要預期自己正在成為商品。

本文靈感來源：原文《Spying Chrome Extensions: 287 Extensions spying on 37M users》(連結)。

核心觀點（Key Takeaways）

• 研究團隊透過 Docker、Chromium、MITM proxy 與自動化流量分析，找出 287 個會外洩瀏覽紀錄的 Chrome 擴充功能，總裝機數約 3740 萬。
• 多家資料掮客（Similarweb、Curly Doggo、Offidocs 等）仍持續透過擴充功能蒐集使用者的瀏覽資料，且技術越來越隱密。
• 外洩方式從最基本的 GET 參數，到 ROT47、AES + RSA、LZ-string 壓縮、甚至 GA 事件，都能被拿來當作滲漏管道。

深入解析

這篇文章最讓我印象深刻的，是它不是依靠靜態程式碼分析，而是 模擬真實使用者行為，透過流量大小與 URL 長度的線性關係推測是否「有外送資料出去」。作者說得很直白：

“If outbound traffic grows linearly with the URL length, we have a high probability that the extension is shipping the URL itself.”

換句話說，作者根本不需要逆向每個擴充功能，只要你在看越長的 URL 時，它送出去的資料越大，就可以合理推論它在偷傳。

研究團隊的做法包含：

• 使用 Docker + Chromium 做自動化測試。
• 所有流量經過 MITM proxy，完整攔截 request/response。
• 以不同長度的合成 URL 觸發外部流量，並用 簡單回歸模型檢查是否呈線性關係。

在這個基礎上，團隊花了 930 CPU 天 跑完所有測試（平均每個擴充功能 10 分鐘）。光是這個數字就足以感受到研究規模。

誰在收集你的資料？

研究結果揭露了一個清楚的資料流向：

• Similarweb（資料分析公司）
• Curly Doggo、Offidocs（部分被連回 Similarweb）
• Kontera（最大爬蟲集團）
• 多個較小型、甚至是匿名的資料掮客

作者甚至用 honeypot 反查到：

“Similarweb extensions are linked to Kontera scraper that is linked to Curly Doggo and Offidocs.”

換句話說，許多擴充功能看似無關，但背後其實指向同一批資料買賣玩家。

資料外洩的手法之多元，令人頭皮發麻

這篇研究逐一示範了不同擴充功能如何「把你的瀏覽紀錄丟出去」：

• 純明文 URL（最常見）
• ROT47 轉換（低階混淆）
• AES + RSA 雙層加密（Stylish 的類似版本，且還會生成一次性金鑰）
• LZ-string UTF16 壓縮（BlockSite 與其相關生態系）
• Google Analytics 事件參數外洩（極難察覺）
• 直接放在 HTTP Header 裡（看起來像 legit metadata）

這些技術都不能自動等同惡意，但其共通點是：全部都能攜帶完整的瀏覽紀錄。

筆者心得與啟發

讀完這份技術報告後，我最大的感受是：

我們其實早已默許自己被監控，只是平常沒有意識到規模這麼巨大。

Chrome Web Store 上有 24 萬款擴充功能，即使只有 1% 有外洩行為，也足以影響一個波蘭人口規模的使用者群體。這篇研究讓我重新思考兩件事：

第一，免費不是問題，但「不透明」才是問題。 這些外洩行為裡，有些是基於功能，有些則是純粹濫用。只要不是開源程式，我們真的沒資格假設它不會偷傳資料。

第二，企業風險遠比一般人以為的更嚴重。 文章提醒：即使只外洩 URL，也可能包含：

• 內部後台網址
• SaaS 平台路徑
• token、session 資訊

這些資訊對企業攻擊者來說，比 email、電話或 cookie 還更值錢。

作為一般使用者，我會建議：

• 儘量使用 開源 擴充功能，且來源可信。
• 安裝前一定看權限，尤其是：Read your browsing history。
• 定期審視自己有哪些擴充功能其實不需要。

最後，這篇報告真正的價值，不只是揭露 287 個問題擴充，而是提供了一套 可被複製的檢測方法。這意味著未來社群可以持續監督、揭露、甚至建立開源掃描工具，讓資料掮客的空間越來越小。

如果你對網路隱私有興趣，這篇原文絕對值得完整讀一遍。