LinkedIn skanon zgjerimet e Chrome: çfarë po ndodh me shfletuesin tuaj

  • Një studim evropian zbulon se LinkedIn injekton JavaScript për të skanuar mbi 6.000 zgjerime të Chrome dhe për të mbledhur të dhëna të pajisjes.
  • Të dhënat janë të lidhura me profile reale dhe përfshijnë informacione potencialisht të ndjeshme, gjë që ngre shqetësime serioze sipas GDPR-së dhe DMA-së në BE.
  • LinkedIn pranon se ka skanuar, por e justifikon atë si një masë sigurie kundër skrapimit dhe abuzimit, dhe mohon përdorimet komerciale ose konkluzionet e ndjeshme.
  • Ekspertët dhe shoqatat po bëjnë thirrje për më shumë transparencë dhe po rekomandojnë masa praktike për të zvogëluar ekspozimin, siç është përdorimi i Firefox ose bllokuesve të skripteve.
Alberto Navarro

Minuta 13

LinkedIn skanon zgjerimet e Chrome

LinkedIn, rrjeti social kryesor profesional në Evropë, është përfshirë në një situatë të madhe... Debati mbi privatësinë shpërthen pasi zbulohet se faqja skanon zgjerime për Chrome dhe shfletues të tjerë të bazuar në Chromium.Një hetim i quajtur BrowserGate pretendon se platforma ka analizuar në heshtje shfletuesit e përdoruesve të saj dhe ka mbledhur të dhëna teknike të detajuara nga pajisjet e tyre për vite me radhë.

Çfarë është BrowserGate dhe kush qëndron pas hetimit

Termi Porta e Shfletuesit Kjo rrjedh nga një hetim i udhëhequr nga Fairlinked eV, një shoqatë evropiane e përdoruesve të biznesit të LinkedIn me seli në Gjermani. Ky grup pretendon se ka zbuluar se rrjeti social i Microsoft-it injekton një Paketa JavaScript prej rreth 2,7 MB për çdo ngarkim faqeje, i projektuar posaçërisht për të skanuar mjedisin e shfletuesit të përdoruesit.

Sipas Fairlinked, ky kod funksionon në sfond sa herë që LinkedIn hapet në shfletuesit e bazuar në Chromium, si p.sh. Google Chrome, Microsoft Edge ose Brave (kur disa pika fundore nuk janë të bllokuara). Skripti do të kërkonte zgjerime specifike, do të mblidhte sinjale teknike nga pajisja dhe do të dërgonte rezultatet e enkriptuara në serverat LinkedIn, të cilët supozohet se janë të lidhur me llogarinë personale të secilit anëtar.

Shoqata e përshkruan praktikën si një “operacion masiv, global dhe i paligjshëm spiunazhi”veçanërisht në kontekstin evropian. Argumentohet se sjellja ndodh pa informacion të qartë për përdoruesin, pa pëlqim të qartë dhe pa u pasqyruar në politikën e privatësisë ose dokumentacionin publik të kompanisë, gjë që do të binte ndesh me disa parime të GDPR-së.

Për më tepër, Fairlinked thekson se ndikimi në strukturën e biznesit evropian është i rëndësishëm: Anëtarët zakonisht përdorin LinkedIn me emrin e tyre të vërtetë, kompaninë dhe titullin e punës.në mënyrë që çdo e dhënë shtesë e mbledhur përmes shfletuesit të fitojë shpejt një karakter korporativ dhe potencialisht të ndjeshëm.

Si funksionon skanimi i zgjerimeve të Chrome

Sipas raportit të BrowserGate, mekanizmi i LinkedIn mbështetet në një paketë JavaScript që kombinon tre shtresa zbulimi për të identifikuar shtesat e instaluara në shfletuesit e bazuar në Chromium:

  • Zbulimi me anë të qasjes në burimeSkripti përpiqet të hyjë në rrugët e tipit chrome-extension:// të shoqëruara me ID specifike të zgjerimit. Nëse burimi përgjigjet, supozohet se zgjerimi është instaluar.
  • Zbulimi i DOM-itinspektimi i elementeve që disa zgjerime injektojnë në faqe (për shembull, shirita, butona shtesë ose skripte të personalizuara).
  • “Spektroskopia”Një skanim më i thellë i pemës DOM për të gjetur çdo modifikim të veçorisë të futur nga shtojcat e shfletuesit.

Kjo qasje me faza lejon, sipas hulumtimit, Skanoni mbi 6.000 zgjerime të ndryshme në masë brenda pak sekondash. Paketa jo vetëm që kontrollon për një ose dy mjete të dyshimta, por skanon edhe një lista e zgjerimeve e cila është rritur shumë ndjeshëm vitet e fundit.

Të dhënat e mbledhura nuk kufizohen vetëm në listën e zgjerimeve. Skripti gjithashtu merr 48 karakteristika të pajisjes, midis tyre:

  • Numri i bërthamave të CPU-së dhe lloji i procesorit.
  • Sasia e memories së disponueshme.
  • Rezolucioni i ekranit dhe konfigurimi i shumë ekraneve.
  • Zona kohore, gjuha e sistemit dhe cilësimet rajonale.
  • Gjendja e baterisë dhe disa aftësi audio dhe ruajtjeje.

Me këtë informacion, sistemi mund të ndërtojë atë që njihet si një gjurmë gishtash e shfletuesitEdhe pse këto të dhëna nuk e identifikojnë individualisht një person, kur kombinohen ato krijojnë një profil teknik shumë unik, i cili bëhet plotësisht i identifikueshëm kur shoqërohet me një llogari në LinkedIn me një emër dhe mbiemër.

Sa shtesa janë skanuar dhe si ka evoluar lista

Një nga pikat që ka tërhequr më shumë vëmendjen e ekspertëve është shkallë skanimiFairlinked dokumenton se LinkedIn e kishte përdorur këtë teknikë për njëfarë kohe, por numri i zgjerimeve nën mbikëqyrje thuhet se është rritur në mënyrë shpërthyese:

  • Në vitin 2017, lista fillestare mezi përmbante Extensions 38.
  • Në vitin 2024, inventari u zgjerua në Extensions 461.
  • Në shkurt të vitit 2026, raporti e vendos shifrën në Extensions 6.167, që përfaqëson një rritje prej më shumë se 1.250% në vetëm dy vjet.

Testet e pavarura të kryera nga media e specializuar BleepingComputer në prill 2026 konfirmojnë se, në kohën e testeve të tyre, skripti i LinkedIn Kontrolloi 6.236 zgjerime të ndryshme. Të njëjtat teste vunë re se JavaScript ishte ngarkuar me një emër në dukje të rastësishëm dhe ekzekutohej në sfond në çdo vizitë.

Rritja e numrit të zgjatjeve përkon, pjesërisht, me hyrjen në fuqi të Akti i Tregjeve Dixhitale të Bashkimit Evropian (DMA)Fairlinked argumenton se, në vend që thjesht ta hapte ekosistemin e saj më tej ndaj mjeteve të palëve të treta, LinkedIn u përgjigj duke zgjeruar masivisht mbikëqyrjen e tyre, veçanërisht atyre që operojnë në të njëjtën fushë biznesi.

Çfarë llojesh zgjerimesh monitoron LinkedIn dhe pse është ky një shqetësim i madh?

Lista e shtesave të skanuara nuk kufizohet vetëm te shtesat shtesë që dyshohen për skrapim ose automatizim agresiv. Sipas BrowserGate, Ai përfshin kategori shumë të ndryshme që mund të zbulojnë informacione veçanërisht të ndjeshme. rreth përdoruesve:

  • Zgjerime fetare, siç janë mjetet për kohët e lutjeve islame ose leximet e përditshme të Torës.
  • Përdorimet për shëndetin dhe neurodiversitetinPër shembull, mbështetje për ADHD, disleksi ose probleme të tjera shëndetësore.
  • 509 zgjerime të kërkimit të punës, me një total të kombinuar prej rreth 1,4 milion përdoruesish.
  • Më shumë se 200 mjete shitjesh dhe kërkimi klientësh që konkurrojnë drejtpërdrejt me zgjidhjet e biznesit të LinkedIn.
  • Bllokues reklamash, VPN, zgjerime sigurie dhe mjete të ndryshme produktiviteti.

Kombinimi i këtyre kategorive hap derën për përfundime me ndikim të lartë. Vetë fakti që LinkedIn zbulon praninë e disa zgjerimeve... Mund të sugjerojë bindje fetare, prirje politike, probleme shëndetësore, aftësi të kufizuara ose kërkim aktiv të punësimit.Për më tepër, duke identifikuar mjetet rivale të shitjes, platforma mund të nxjerrë përfundime se cilat kompani po përdorin produkte konkurruese.

Fairlinked shkon aq larg sa sugjeron që, meqenëse LinkedIn tashmë e njeh kompaninë, titullin e punës dhe industrinë e secilit përdorues, platforma mund ta përdorë këtë skanim të fshehtë për të hartëzimi i portofoleve të klientëve të mijëra ofruesve të softuerëve pa qenë në dijeni as vetë kompanitë dhe as përdoruesit e tyre. Edhe pse kjo akuzë specifike nuk është verifikuar në mënyrë të pavarur, ajo ilustron potencialin strategjik të krahasimit të informacionit nga zgjerimet dhe profilet profesionale.

Konfirmime të pavarura dhe çfarë është verifikuar

Edhe pse jo të gjitha pretendimet e BrowserGate janë vërtetuar pikë për pikë, Disa media të teknologjisë kanë përsëritur disa nga gjetjet.BleepingComputer, për shembull, dokumentoi se:

  • Uebsajti i LinkedIn ngarkoi një skedar JavaScript me emër të rastësishëm që ekzekutohej në çdo vizitë.
  • Ai skript po përpiqej të hynte në burimet e lidhura me ID specifike të zgjerimeve, duke ndjekur modelin tipik të zbulimit në shfletuesit Chromium.
  • Në testet e tij, sistemi kontrolloi më shumë se 6.200 zgjerime.
  • Kodi mblodhi të dhëna të shumta teknike nga pajisja, në përputhje me praktikat e përparuara të marrjes së gjurmëve të gishtërinjve.

Analiza të tjera të publikuara në media, si p.sh. Tom's Hardware, gHacks ose Cybernews Të gjithë bien dakord në përshkrimin e një modeli të gjerë të gjurmëve të gishtërinjve, duke kombinuar zbulimin e zgjerimit me parametrat e harduerit dhe konfigurimin e shfletuesit. Të gjithë theksojnë se procesi kryhet pa një njoftim të qartë për përdoruesin mesatar dhe pa kontroll të detajuar mbi llojin e informacionit të mbledhur.

Megjithatë, këto media sqarojnë gjithashtu se nuk kanë qenë në gjendje ta verifikojnë këtë. përdorimi përfundimtar i të dhënave as nëse ato ndahen me palë të treta. Me fjalë të tjera, ekzistenca e skanimit dhe mbledhjes së sinjaleve teknike është verifikuar, por jo të gjitha skenarët hipotetikë të ngritur nga shoqata evropiane.

Përgjigja zyrtare e LinkedIn dhe beteja ligjore në Evropë

LinkedIn nuk e ka mohuar zbulimin e zgjerimeve specifike ose mbledhjen e sinjaleve të pajisjeve. Në deklaratat e saj publike, kompania pohon se I gjithë mekanizmi ka një qëllim sigurie.Identifikoni shtesat që nxjerrin të dhëna në masë (grumbullim), shkelin Kushtet e Shërbimit ose rrezikojnë stabilitetin e platformës.

Kompania pohon se disa zgjerime ekspozojnë burime statike, të tilla si imazhe ose skedarë JavaScript, të arritshme nga faqet e saj, dhe se vetë ekzistenca e këtyre URL-ve mund të verifikohet edhe nga konzola e zhvilluesve të Chrome. Kështu, LinkedIn e vendos praktikën brenda një përpjekje legjitime për të zbuluar abuzimet dhe automatizimin e paautorizuar.

Lidhur me akuzat më serioze, kompania ka qenë e prerë: ajo përshkruan disa pika në raportin e BrowserGate si “thjesht gabim” LinkedIn pohon se nuk i përdor të dhënat për të nxjerrë përfundime mbi besimet fetare, opinionet politike apo gjendjet shëndetësore. Kompania këmbëngul se skanimi kufizohet në mbrojtjen e privatësisë së përdoruesit dhe integritetin e shërbimit kundër sjelljes abuzive.

Për më tepër, kompania e lidh origjinën e ankesës me një konflikt të mëparshëm me zhvilluesin e një zgjerimi të LinkedIn të njohur si Teamfluence. Sipas platformës, ky zgjerim u kufizua për shkelje të kushteve të shërbimit dhe zhvilluesi nisi disa procedura ligjore që rezultuan të pasuksesshme. Një gjykatë gjermane hodhi poshtë një urdhër paraprak gjyqësor.duke arritur në përfundimin se LinkedIn mund të bllokonte llogaritë për të mbrojtur shërbimin e tij dhe se mbledhja automatike e të dhënave nëpërmjet scraping shkelte kushtet e rrjetit.

Pavarësisht kësaj mbrojtjeje, Fairlinked ka njoftuar se ka lançuar veprime të tjera ligjore sipas Aktit të Tregjeve Dixhitale (DMA) dhe kuadri evropian i GDPR-së, duke argumentuar se skanimi masiv dhe i heshtur i zgjerimeve tejkalon atë që është e arsyeshme edhe me një motivim sigurie.

Implikimet sipas GDPR-së dhe rregullores evropiane

Nga një perspektivë ligjore evropiane, rasti BrowserGate prek disa çështje të ndjeshme. Për të filluar, GDPR e klasifikon si "të dhëna të kategorisë speciale" Ato që lejojnë të bëhen konkluzione rreth besimeve fetare, opinioneve politike ose informacionit shëndetësor. Nëse zbulimi i zgjerimeve të mbështetjes fetare, politike ose të neurodiversitetit lidhet me profile nominative, përpunimi i këtyre të dhënave, në parim, do të kërkonte një pëlqim i qartë dhe specifik.

Raporti i Fairlinked nënvizon se as politika e privatësisë e LinkedIn dhe as dokumentacioni i saj publik Ata nuk e përmendin qartë këtë skanim të zgjerimit ose gjurmët e gishtërinjve që lidhen me të. As nuk i paraqesin përdoruesit një mekanizëm të detajuar pëlqimi për të autorizuar këtë lloj analize të shfletuesit, gjë që mund të bie ndesh me parimet e GDPR-së për transparencën, minimizimin dhe kufizimin e qëllimit.

Nga ana tjetër, DMA-ja e vetë Bashkimit Evropian, e cila e identifikon LinkedIn si "rojtar"Kërkon që platformat e mëdha të mos abuzojnë me pozicionin e tyre ose të pengojnë padrejtësisht shërbimet e palëve të treta. Shoqata ankimuese e interpreton skanimin e zgjerimeve të konkurrentëve si potencialisht të përdorura për të monitoruar ose ushtruar presion mbi mjetet rivale, gjë që do ta përkeqësonte interpretimin rregullator.

Deri më tani, autoritetet evropiane nuk kanë njoftuar sanksione specifike në lidhje me këtë rast, por Debati në Bruksel mbi mbikëqyrjen e korporatave dhe marrjen e gjurmëve të gishtërinjve është shumë i gjallë.Rasti i LinkedIn i shtohet një liste në rritje të praktikave të dyshimta që vënë në provë aftësinë aktuale të BE-së për të zbatuar rregullat e saj të mbrojtjes së të dhënave.

Kush preket dhe çfarë rreziku real paraqet për përdoruesit?

Hulumtimet dhe analizat pasuese bien dakord se ndikimi është i përqendruar në përdoruesit që hyjnë në LinkedIn nga shfletuesit e bazuar në Chromium pa mbrojtje shtesë. Kjo është:

  • Përdoruesit e Google Chrome.
  • Përdoruesit e Microsoft Edge.
  • Përdoruesit e Trim që nuk i modifikojnë cilësimet fillestare, megjithëse ky shfletues bllokon disa pika fundore të ndjekjes.

Në të kundërt, ata që përdorin Firefox ose Safari Ata shohin një reduktim të ndjeshëm të ekspozimit sepse metoda e zbulimit të zgjerimit është e lidhur ngushtë me arkitekturën e zgjerimit të Chromium. Megjithatë, marrja e gjurmëve të gishtërinjve të pajisjes duke përdorur të dhëna të tilla si CPU, memoria ose rezolucioni mund të kryhet, në një masë më të madhe ose më të vogël, në shfletues të ndryshëm.

Rreziku kryesor nuk është aq shumë që LinkedIn lexon përmbajtjen e shtesave, por që Zbuloni se cilat i keni instaluar dhe lidhini ato me profilin tuaj profesionalKjo lejon gjenerimin e një pamjeje shumë të detajuar të mjeteve tuaja të punës, situatës suaj të punësimit (për shembull, nëse përdorni zgjerime të kërkimit të punës) ose interesave tuaja personale, në një kontekst ku të dhënat tuaja janë tashmë të lidhura fort me identitetin tuaj të vërtetë.

Për shumicën e përdoruesve, rreziku i menjëhershëm nuk vjen nga një "hack" klasik, por nga një rritje e heshtur e aftësive të mbikëqyrjes dhe ndjekjes, e vështirë për t’u perceptuar dhe kontrolluar, gjë që mund të ketë pasoja në aspektin e privatësisë, konkurrencës dhe, përfundimisht, reputacionit profesional.

Rekomandime praktike për uljen e ekspozimit

Duke pasur parasysh këtë skenar, rekomandimet e ekspertëve të sigurisë dhe privatësisë përqendrohen në kufizoni fushëveprimin e gjurmëve të gishtërinjve dhe skanimit të zgjerimit kur përdorni LinkedIn, veçanërisht në mjediset e korporatave evropiane:

  • Përdorni shfletues alternativëHyrja në LinkedIn nga Firefox ose Safari zvogëlon ndjeshëm efektivitetin e teknikave të zbulimit të zgjerimeve të bazuara në Chromium.
  • Instaloni bllokues skriptesh dhe gjurmuesishZgjerimet si uBlock Origin ose mjetet e përparuara të privatësisë ndihmojnë në bllokimin e pikave fundore të gjurmimit dhe paketave ndërhyrëse të JavaScript.
  • Konfiguro Brave për të qenë më agresivBrave tashmë bllokon disa gjurmime si parazgjedhje, por rekomandohet të rishikoni opsionet e "mbrojtjes së përparuar" kur vizitoni LinkedIn.
  • Mjedise të ndaraDisa kompani zgjedhin të shfletojnë rrjetet sociale profesionale nga një shfletues i izoluar, me pak zgjerime dhe një konfigurim më kufizues.

Për themeluesit, menaxherët e IT-së dhe ekipet e sigurisë në Evropë, ky rast shërben gjithashtu si një kujtesë se Varësitë nga palët e treta dhe përdorimi i platformave të mëdha duhet të auditohen periodikisht.Nuk ka të bëjë vetëm me atë që ndodh brenda vetë aplikacionit, por edhe me mënyrën se si mjetet e përdorura çdo ditë (si LinkedIn) bashkëveprojnë me mjedisin e shfletuesit të punonjësve dhe menaxherëve.

Shkurt, BrowserGate ka nxjerrë në pah shkallën në të cilën mund të shkojë një rrjet profesional. monitorojë ekosistemin dixhital të përdoruesve të saj Në emër të sigurisë, LinkedIn argumenton se skanimi i zgjerimeve dhe mbledhja e sinjaleve të pajisjeve janë të nevojshme për të frenuar mbledhjen e të dhënave dhe abuzimin automatik, ndërsa shoqatat evropiane dhe mediat e specializuara paralajmërojnë se po kalohet një vijë delikate në aspektin e privatësisë dhe transparencës. Rezultati është një kapitull i ri në tensionin midis sigurisë, biznesit dhe të drejtave dixhitale brenda tregut të vetëm evropian, një temë që ka të ngjarë të vazhdojë të gjenerojë diskutime në muajt në vijim, si në zyrat e Brukselit ashtu edhe në shfletuesit e internetit të miliona profesionistëve.

Artikulli i lidhur:
Shtesat më të mira të Chrome që nuk mund të humbisni