🌍較早收集於 47m

LinkedIn 秘密掃描 6,000 個瀏覽器擴充套件

LinkedIn 秘密掃描 6,000 個瀏覽器擴充套件
PostLinkedIn
🌍閱讀原文: The Next Web (TNW)

💡LinkedIn 指紋化開發者瀏覽器—保護在 AI 求職/網路關鍵平台的隱私(38字元)

⚡ 30-Second TL;DR

有什麼變化

隱藏 JS 無聲探測 6,000+ 擴充套件

為什麼重要

引發專業人士在 LinkedIn 網路與求職時的隱私疑慮。可能削弱使用者對 Microsoft 旗下平台的信任,面臨追蹤行為審查加劇。

下一步行動

造訪 LinkedIn 前審核瀏覽器擴充套件,並使用無痕模式或注重隱私的瀏覽器。

誰應關注:Developers & AI Engineers

關鍵要點

  • 隱藏 JS 無聲探測 6,000+ 擴充套件
  • 收集 48 項硬體/軟體特徵
  • 加密指紋並附加至所有 API 請求
  • 僅針對 Chrome 基底瀏覽器

🧠 深度解析

AI-generated analysis for this event.

🔑 增強重點摘要

  • 此技術利用了瀏覽器擴充套件的資源載入機制,透過嘗試存取特定擴充套件的 Web Accessible Resources (WAR) 來判斷其是否安裝,這是一種常見的瀏覽器指紋識別(Fingerprinting)變體。
  • 資安研究人員指出,LinkedIn 此舉主要目的是為了進行反詐欺(Anti-fraud)與機器人偵測,透過建立高精確度的裝置指紋,以識別惡意自動化行為。
  • 此事件引發了關於隱私權與瀏覽器安全模型的廣泛討論,特別是關於瀏覽器廠商(如 Google)是否應限制擴充套件清單的存取權限,以防止此類隱私洩漏。

🛠️ 技術深入

  • 該機制透過 JavaScript 的 fetch()Image 物件,對常見擴充套件的特定檔案路徑(如 chrome-extension://[extension_id]/manifest.json)發起非同步請求。
  • 根據請求的成功與否(HTTP 狀態碼),系統能精確判斷特定擴充套件是否安裝在使用者瀏覽器中。
  • 收集的 48 項特徵包含但不限於:螢幕解析度、時區、字體列表、Canvas 渲染指紋、WebGL 參數以及作業系統版本。
  • 指紋資料在傳輸前經過雜湊處理(Hashing)與加密,並作為 HTTP Header 或 Payload 的一部分附加在所有發往 LinkedIn 後端的 API 請求中,以確保會話的一致性。

🔮 前景展望AI analysis grounded in cited sources

瀏覽器廠商將進一步限制擴充套件的資源存取權限。
為了防範此類指紋識別技術,Chrome 等瀏覽器可能會在未來的更新中強制執行更嚴格的跨來源資源共享(CORS)策略,限制網頁存取擴充套件資源。
LinkedIn 將面臨更嚴格的隱私合規審查。
由於未經明確告知使用者即收集裝置指紋,此行為可能違反 GDPR 或 CCPA 等隱私法規,導致監管機構介入調查。

時間線

2026-03
資安研究人員公開揭露 LinkedIn 的 BrowserGate 隱私探測行為。
2026-04
LinkedIn 針對 BrowserGate 事件發布初步回應,強調其目的是為了提升平台安全性。
📰

AI 週報

閱讀本週精選 AI 大事摘要 →

👉相關動態

AI 策展新聞聚合。所有內容版權歸原始發布者所有。
原始來源: The Next Web (TNW)