原标题:浏览器扩充程式Stylish化身间谍程式,擅自搜集用户浏览历史纪录遭下架
示意图,与新闻事件无关。
图片来源:userstyles.org
一位软件工程师Robert△Heaton在近日警告,知名的浏览器扩充程式Stylish擅自纪录使用者的网页浏览历史纪录,并将它们传送至远端伺服器,而Google与Mozilla也在本周相继于Chrome△Web△Store与Firefox外挂程式页面上将Stylish下架。
Stylish是个开源的浏览器扩充程式,以于网站本身所提供的阶层样式表(Cascading△Style△Sheets,CSS)之外部署订制化的样式表,以用来变更网页的外观。
Heaton表示,Stylish原本是个非常出色的扩充程式,原始的开发者在2016年8月将它出售,几度转手之后在去年1月落到因专门搜集使用者资料而恶名昭彰的分析业者SimilarWeb手上,自此Stylish就变成一个间谍程式,可纪录200万用户所造访的每一个网站,并将这些浏览行为传送到远端伺服器上,还随附用户的独特识别码,若使用者还建立了Stylish帐号,很容易就能与用户身份产生连结。
在Heaton披露此事之后,Stylish已同时自Firefox外挂程式页面及Chrome△Web△Store上消失。
Heaton认为,浏览器扩充程式可能成为安全恶梦并非新闻,而且那些过去值得信赖的扩充程式在悄悄易主之后也可能走歪,尽管SimilarWeb宣称他们必须追踪使用者所造访的网站才能推荐最适合的网页外观,但这个借口非常地薄弱,因为若想达到此一目的只需纪录当前网页的网域(Domain)即可,而非完整的网址(URL)。
Stylish上的预设值启用了URL的追踪与纪录功能,但也允许使用者将它关闭。不过Heaton仍然建议Stylish用户移除该扩充程式,改安装其它类似工具,例如旧版Stylish的分支Stylus。
相关:
iOS 12 程式码泄露下一代新 iPad 或增 Face ID | 香港 UNWIRE.HK 玩生活.乐科技
有苹果开发者于 iOS 12 的代码中发现一些蛛丝马迹,显示苹果有机会在 iPad 加入 TrueDepth 相机,意味着下一代 iPad 中或会加入 Face ID 功能。▲ iPhone X 内置的 TrueDepth 3D 镜头或会应用到下一代 iPad上星期一,
Android P扩大编译器缓解漏洞措施,可防范程式码重用攻击
Google宣布在Android△P中扩展编译器缓解漏洞的作法,来让特定类型的漏洞攻击失效。当未定义行为出现在,Android△P会让Runtime操作安全的失败,这个做法综合了两部分,分别是控制流程完整性(Control△Flow△Integr
图片来源: Opera 来自挪威的浏览器业者Opera上周在美国申请首次公开发行股票(IPO),准备以OPRA为代号登上那斯达克(Nasdaq)股市。虽然集结奇虎360与昆仑万维等中国业者的投资集团在2016年时原本要以12亿美元并购O
图片来源: Brave 由JavaScript之父Brendan△Eich所建立、标榜拉黑所有分析与追踪元件的Brave浏览器于上周释出了Brave△0.23版,此一新版本整合了Tor软件并推出隐私标签Private△Tabs△with△Tor,可避免用户遭到ISP业
售票网站Ticketmaster的第三方通讯程式被骇,用户个资、支付资讯外泄
示意图,与新闻事件无关。 图片来源: Tickmaster 全球最大售票网站之一 Ticketmaster周三承认,受合作厂商提供的客户支援聊天软件被骇影响,导致曾在该公司在英国及海外网站上售票的客户支付资讯外泄。Ticketmaste