LinkedIn wykrywa tysiące rozszerzeń Chrome. Eksperci alarmują o fingerprintingu i ryzyku dla prywatności

Wprowadzenie do problemu / definicja

LinkedIn znalazł się w centrum debaty dotyczącej fingerprintingu przeglądarki po ujawnieniu, iż platforma wykrywa obecność tysięcy rozszerzeń działających w środowisku Chromium. Z perspektywy cyberbezpieczeństwa sprawa wykracza poza samo skanowanie dodatków, ponieważ mechanizmowi towarzyszy zbieranie danych o urządzeniu, konfiguracji przeglądarki i środowisku użytkownika.

To istotny przykład napięcia między uzasadnioną ochroną serwisu przed nadużyciami a potencjalnie inwazyjnym profilowaniem. W praktyce choćby pozornie techniczne informacje mogą stać się elementem identyfikacji użytkownika oraz źródłem wiedzy o jego narzędziach pracy.

W skrócie

Według ujawnionych ustaleń skrypt JavaScript obecny w sesjach LinkedIn miał sprawdzać dostępność zasobów powiązanych z ponad 6 tysiącami rozszerzeń przeglądarki. Taka metoda pozwala z dużym prawdopodobieństwem ustalić, czy konkretny dodatek jest zainstalowany, bez potrzeby korzystania z klasycznego API ujawniającego listę rozszerzeń.

Równolegle skrypt miał pobierać dodatkowe sygnały telemetryczne, takie jak liczba rdzeni CPU, dostępna pamięć, rozdzielczość ekranu, strefa czasowa, ustawienia językowe, adekwatności storage oraz informacje o baterii. LinkedIn wskazał, iż działania te mają związek z ochroną platformy i przeciwdziałaniem scrapingowi.

Kontekst / historia

Temat zyskał rozgłos po publikacji ustaleń BrowserGate oraz późniejszym nagłośnieniu sprawy przez media branżowe. Sama technika nie jest nowa — branża zna już przypadki agresywnego rozpoznawania środowiska użytkownika przez duże platformy internetowe, w tym wykrywania lokalnych usług, aplikacji czy rozszerzeń.

W przypadku LinkedIn kontrowersje są jednak większe z uwagi na charakter serwisu. Platforma jest ściśle powiązana z realną tożsamością użytkowników, ich historią zatrudnienia, relacjami zawodowymi oraz aktywnością biznesową. Oznacza to, iż dane techniczne zebrane przez przeglądarkę mogą zostać pośrednio skorelowane z bardzo konkretnym profilem osoby.

Dodatkowym elementem tła jest spór wokół narzędzi i rozszerzeń powiązanych z automatyzacją działań na LinkedIn. Spółka utrzymuje, iż część zarzutów pochodzi ze środowiska podmiotów naruszających zasady korzystania z platformy i wykorzystujących scraping danych.

Analiza techniczna

Mechanizm wykrywania rozszerzeń opiera się na odwoływaniu do charakterystycznych zasobów przypisanych do konkretnych identyfikatorów dodatków. o ile przeglądarka zwraca oczekiwany plik lub inny komponent powiązany z rozszerzeniem, skrypt może wnioskować o jego obecności. To znana technika fingerprintingu wykorzystująca adekwatności architektury Chromium.

W analizowanym przypadku mowa o sprawdzaniu 6236 rozszerzeń. Istotne jest to, iż lista miała obejmować nie tylko dodatki bezpośrednio związane z funkcjonowaniem LinkedIn, ale również narzędzia sprzedażowe, analityczne, językowe, produkty konkurencyjne i inne komponenty mogące ujawniać sposób pracy użytkownika.

Poza enumeracją rozszerzeń skrypt miał zbierać także dane o urządzeniu i przeglądarce, między innymi:

• liczbę rdzeni procesora,
• dostępną pamięć,
• rozdzielczość ekranu,
• strefę czasową,
• ustawienia językowe,
• informacje o baterii,
• cechy audio,
• właściwości pamięci i storage.

Pojedynczy parametr nie musi być szczególnie wrażliwy, jednak połączenie wielu takich sygnałów tworzy charakterystyczny profil urządzenia. W efekcie możliwe staje się odróżnianie użytkowników, przewidywanie ich środowiska pracy i identyfikowanie używanego stosu narzędziowego.

Z perspektywy obronnej argument LinkedIn o przeciwdziałaniu scrapingowi jest częściowo zrozumiały. Rozszerzenia automatyzujące pobieranie danych faktycznie stanowią problem dla platform społecznościowych i zawodowych. Wątpliwości budzi jednak skala wykrywania, szeroki zakres telemetrii oraz ograniczona przejrzystość wobec użytkownika końcowego.

Konsekwencje / ryzyko

Najważniejsze ryzyko dotyczy prywatności i profilowania. Zestaw zainstalowanych rozszerzeń może zdradzać rolę zawodową użytkownika, obszar działalności, używane narzędzia sprzedażowe, rozwiązania CRM, platformy analityczne, a choćby elementy firmowego środowiska technologicznego.

Drugim problemem jest transparentność. Przeciętny użytkownik nie zakłada, iż odwiedzana platforma może aktywnie testować obecność tysięcy dodatków i równocześnie budować profil urządzenia. choćby jeżeli intencją jest bezpieczeństwo serwisu, skala pozyskiwania danych może rodzić pytania o zgodność z zasadą minimalizacji oraz o podstawy dalszego przetwarzania.

Trzecie ryzyko wiąże się z wtórnym użyciem danych telemetrycznych. Raz zebrane informacje mogą być cenne operacyjnie, analitycznie i biznesowo. Dlatego ocenie powinien podlegać nie tylko sam mechanizm akwizycji danych, ale także retencja, kontrola dostępu, cele przetwarzania i możliwość ich dalszego łączenia z innymi zbiorami.

W szerszym ujęciu podobne praktyki normalizują zachowania przypominające techniki inwazyjne. To z kolei utrudnia użytkownikom odróżnienie uzasadnionych działań ochronnych od metod, które z perspektywy prywatności mogą być postrzegane jako nadużycie.

Rekomendacje

Dla użytkowników indywidualnych rozsądnym krokiem jest ograniczenie liczby rozszerzeń do minimum oraz regularny przegląd zainstalowanych dodatków. Warto również rozdzielać aktywność prywatną i zawodową dzięki osobnych profili przeglądarki oraz korzystać z ustawień ograniczających fingerprinting.

Organizacje powinny wdrożyć politykę zarządzania rozszerzeniami, dopuścić wyłącznie zatwierdzone dodatki i segmentować profile przeglądarki zależnie od roli użytkownika. W środowiskach o podwyższonych wymaganiach bezpieczeństwa uzasadnione może być użycie browser isolation, narzędzi EDR lub platform do centralnego zarządzania przeglądarkami.

Zespoły bezpieczeństwa i compliance powinny uwzględnić browser fingerprinting w modelach zagrożeń aplikacji webowych. W praktyce oznacza to konieczność monitorowania skryptów pod kątem enumeracji rozszerzeń, oceny skutków dla prywatności oraz przeglądu komponentów zbierających dane o środowisku użytkownika.

• ograniczać liczbę rozszerzeń do niezbędnego minimum,
• usuwać nieużywane dodatki i kontrolować ich uprawnienia,
• rozdzielać profile przeglądarki dla pracy i aktywności prywatnej,
• w firmach wdrożyć listy dozwolonych rozszerzeń,
• monitorować skrypty webowe pod kątem fingerprintingu i enumeracji dodatków.

Podsumowanie

Sprawa LinkedIn pokazuje, jak cienka jest granica między ochroną platformy przed nadużyciami a zaawansowanym fingerprintingiem użytkowników. Sama technika wykrywania rozszerzeń w Chromium nie jest nowa, ale jej skala oraz powiązanie z serwisem opartym na rzeczywistych tożsamościach zawodowych znacząco podnoszą wagę problemu.

Dla branży cyberbezpieczeństwa to kolejny sygnał, iż bezpieczeństwo aplikacji webowych należy oceniać nie tylko przez pryzmat ataków i podatności, ale również przez metody telemetrii oraz profilowania stosowane przez same platformy. Transparentność, minimalizacja danych i kontrola zakresu zbieranych sygnałów stają się w tym kontekście równie ważne jak klasyczne mechanizmy ochronne.

Źródła

1. BleepingComputer — LinkedIn secretly scans for 6,000+ Chrome extensions, collects data — https://www.bleepingcomputer.com/news/security/linkedin-secretly-scans-for-6-000-plus-chrome-extensions-collects-data/
2. BrowserGate report — https://browsergate.eu/
3. BrowserLeaks — Extension detection techniques — https://browserleaks.com/chrome
4. GitHub Gist — wcześniejsze obserwacje skryptu wykrywającego rozszerzenia — https://gist.github.com/
5. BleepingComputer — eBay i automatyczne skanowanie urządzeń odwiedzających — https://www.bleepingcomputer.com/news/security/ebay-port-scanning-visitors-computers/