資安研究人員 John Tuckner 揭露,超過 245 款瀏覽器擴充功能(extensions)悄悄將用戶的瀏覽器變成網站爬蟲工具,協助付費客戶抓取網站資料,目前受影響的 Chrome、Firefox、Edge 等三大平台下載總量已接近 90 萬次。這些外掛原本打著書籤管理、剪貼簿工具、音量增強器或隨機數字產生器等功能吸引用戶,但其背後共通點是整合了一套名為 MellowTel-js 的開源 JavaScript 函式庫。
這套函式庫允許開發者將外掛流量「變現」,其實質用途是將安裝外掛的用戶瀏覽器變成一個個分散式資料爬蟲節點。研究顯示,MellowTel 與一家名為 Olostep 的公司有密切關聯,後者主打低成本、高效能且可繞過網站防爬機制的「Web Scraping API」,強調可在數分鐘內併發處理多達 10 萬筆請求。
Tuckner 表示,Olostep 的用戶會提交想爬取的網站清單,MellowTel 則透過安裝其函式庫的外掛用戶進行分散式請求與資料收集,彷彿將用戶的頻寬與網頁存取能力租賃出去。「我們發現 MellowTel 的代碼會開啟與 AWS 伺服器的 WebSocket 連線,並回傳用戶所在位置、可用頻寬、運作狀態等資訊,甚至在用戶目前瀏覽的網頁中隱藏植入 iframe,載入特定網站內容,卻無從得知這些網站是什麼。」Tuckner 警告。
更嚴重的是,MellowTel-js 會主動移除網站回應中的資安標頭,例如 Content-Security-Policy(CSP)與 X-Frame-Options,這可能導致原本應受防護的跨網站攻擊(XSS)風險提高,使用戶的瀏覽環境更加脆弱。
MellowTel 創辦人先前曾辯稱該服務是「讓用戶分享頻寬,且不插入廣告、收集個資或導流」,並強調其主要用途為存取公開網站資料。開發者可獲得 55% 分潤,其餘則由 MellowTel 收取。不過這樣的解釋未能消除外界對於用戶權益與資訊安全的疑慮。
目前 Tuckner 已統計出受影響的外掛狀況如下:
- Chrome 擴充功能中已知有 45 款受影響,其中 12 款已被下架或移除函式庫。
- Edge 擴充功能中共 129 款受波及,僅有 8 款下架或修正。
- Firefox 則有 71 款,僅 2 款目前標示為不活躍。
這起事件也讓人聯想到 2019 年 Nacho Analytics 的案例,當時就有瀏覽器外掛被用來蒐集用戶上網行為,甚至洩露企業內部簡報、醫療資訊、財務報表與私人照片等高度機密資料,後來服務便遭到關停。
在未有法規明確管控之下,這類將瀏覽器轉為資料「勞力代理」的變現手段難以防範,尤其對企業與注重資訊安全的使用者而言,恐造成潛在風險。Tuckner 也呼籲,瀏覽器平台與外掛審查機制應強化檢測,避免類似工具繞過資安防護,使一般用戶無端成為爬蟲網絡的一環。完整外掛名單可參考其整理清單可點此查看。
(首圖來源:Pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
