Масштабне дослідження безпеки браузерних розширень Chrome виявило 287 додатків, які непомітно для користувача збирають та передають стороннім компаніям детальну історію відвідування сайтів. Сукупна кількість інсталяцій цих розширень перевищує 37,4 млн, що робить інцидент значущим на глобальному рівні для конфіденційності в інтернеті.
Як дослідники виявили витік історії браузера в розширеннях Chrome
Для аналізу використовувався автоматизований стенд на базі Docker із браузером Chromium та вбудованим MITM‑проксі (man‑in‑the‑middle). Така схема дозволяє розшифровувати зашифрований HTTPS‑трафік між браузером і серверами та бачити, які саме дані відправляють розширення.
Система генерувала синтетичну активність у браузері: відкривала заздалегідь визначений список сайтів, після чого зіставляла реальні URL відкритих сторінок з вихідним мережевим трафіком. Якщо розширення пересилало на сторонні сервери точні адреси відвіданих ресурсів (включно з параметрами запитів), воно потрапляло до списку підозрілих.
Загалом було протестовано близько 32 000 розширень з Chrome Web Store. У результаті вдалося ідентифікувати понад 30 компаній та афілійованих структур, які системно отримували дані про активність користувачів у браузері.
Які компанії та розширення Chrome збирали дані користувачів
Серед отримувачів таких даних згадуються відомі гравці ринку веб‑аналітики та інтернет‑економіки: Similarweb, Semrush, Alibaba Group, ByteDance, а також пов’язана з Similarweb структура Big Star Labs. Частина розширень формально належить менш відомим розробникам, фактично виступаючи «фронтом» для аналітичних мереж.
У переліку фігурують і популярні інструменти:
• Stylish — розширення для зміни оформлення сайтів;
• Ad Blocker: Stands AdBlocker та Poper Blocker — блокувальники реклами та спливаючих вікон;
• CrxMouse — розширення для жестів мишею;
• SimilarWeb: Website Traffic & SEO Checker — офіційне розширення Similarweb для аналізу трафіку.
За оцінкою дослідника, близько 20 млн інсталяцій не вдалося однозначно прив’язати до конкретного кінцевого отримувача даних. Імовірно, частина трафіку спрямовується через інфраструктуру підставних компаній або «партнерських аналітичних мереж», де важко простежити кінцевий пункт призначення.
Як працює прихований трекінг в браузерних розширеннях
Більшість виявлених розширень позиціонуються як корисні утиліти для шопінгу, покращення інтерфейсу, підвищення продуктивності чи блокування реклами. Під час встановлення вони запитують розширені дозволи — насамперед доступ до history, tabs та іноді webRequest, що дає змогу зчитувати повну історію браузера та стежити за всіма HTTP(S)‑запитами.
Частина таких додатків додатково маскує ексфільтровані дані, кодує їх у Base64 або шифрує за допомогою AES‑256. З точки зору користувача це виглядає як звичайний HTTPS‑трафік, однак фактично всередині нього містяться списки відвіданих URL, параметри пошукових запитів і часові мітки. Без MITM‑аналізу встановити сам факт витоку практично неможливо.
Політики конфіденційності та проблема «освіченої згоди»
Дослідження показало, що в низці випадків збір даних формально описано в політиках конфіденційності розширень. Однак такі документи часто написані складною юридичною мовою, містять розмиті формулювання та не дають користувачеві реалістичного уявлення про масштаб і наслідки обробки його історії браузера.
Наприклад, Similarweb заявляє, що проводить анонімізацію даних на стороні клієнта, водночас визнаючи, що зібрана інформація може включати персональні та конфіденційні відомості, які випливають із пошукових запитів та відвідуваних сторінок. У фінансовій звітності компанії також підкреслюється, що платформа частково базується на даних, отриманих через браузерні розширення та мобільні застосунки, що фактично перетворює їх на канал комерційного трекінгу.
Ризики для конфіденційності та корпоративної безпеки
Витік історії браузера — це не лише абстрактне питання приватності. На основі масиву URL‑адрес та пошукових запитів можна:
• побудувати детальний профіль користувача: інтереси, професійна сфера, рівень доходу;
• виявити медичні, фінансові й особисті теми за характером відвідуваних сайтів;
• відстежувати поведінку співробітників компаній та державних органів, що створює ризики для корпоративної безпеки і конкурентної розвідки.
У поєднанні з іншими наборами даних (cookies, ідентифікатори пристроїв, профілі соцмереж) така інформація може використовуватися для деанонімізації, таргетованого фішингу або спроб соціальної інженерії.
Як захистити історію браузера: практичні рекомендації
Для зниження ризиків користувачам і організаціям доцільно запровадити базову «гігієну» безпеки браузера:
• регулярно проводити аудит установлених розширень Chrome і видаляти все непотрібне;
• уважно перевіряти запитувані дозволи, особливо доступ до history, tabs та webRequest;
• віддавати перевагу open‑source розширенням, код яких може бути незалежно перевірений спільнотою;
• обмежувати використання будь‑яких додатків у робочих браузерах з доступом до внутрішніх систем;
• створювати окремий профіль або навіть окремий браузер для «ризикових» розширень.
Для бізнесу додатково варто розглянути політику allow‑list (дозволений список розширень), централізоване керування налаштуваннями браузера, а також моніторинг аномального мережевого трафіку з робочих станцій.
Масове виявлення розширень Chrome, які збирають і передають історію браузера, демонструє, наскільки тонкою є межа між «корисним інструментом» і повноцінним трекером. Відповідальність за захист даних розподіляється між розробниками, магазинами застосунків і самими користувачами. Регулярний перегляд встановлених розширень, уважне ставлення до дозволів та базові практики кібербезпеки — необхідний мінімум, щоб зберегти конфіденційність в інтернеті та не дозволити історії браузера перетворитися на ще один товар на ринку даних.
