Synth Daily

LinkedIn 会扫描 6,278 个扩展,并将结果加密到每个请求中

该报告揭示,LinkedIn 长期在用户不知情且未获同意的情况下,秘密扫描其 Chrome 浏览器中安装的多达 6,278 个扩展程序。这一行为将用户的浏览习惯与已验证的职业身份信息(如姓名、雇主、职位)直接关联,用于用户画像和风险控制。这种做法不仅涉嫌违反欧盟的《数字市场法案》(DMA),目前已在德国引发刑事调查。

LinkedIn 知道你是谁

大多数网站的指纹识别技术针对的是匿名访客,目的是在没有 Cookie 的情况下识别一个设备,而非一个具体的人。这种做法虽然仍有问题,但并未直接关联到个人信息。

LinkedIn 的情况完全不同。它处理的不是匿名访客。

  • LinkedIn 知道你的 姓名
  • LinkedIn 知道你的 雇主和职位
  • LinkedIn 知道你的 职业履历和薪资范围
  • LinkedIn 知道你的 职业网络和地理位置

当 LinkedIn 扫描你的浏览器扩展时,它不是在为未知访客建立设备档案,而是在为你已经过验证的 职业身份档案 添加一份详细的软件清单。

公司在我的职业生活中扮演角色,是否就意味着它有权在未经我明确同意的情况下,获取我的个人信息?不,绝不应该。

具体的危害

这种做法的危害是具体而直接的。

  • 求职隐私泄露: 扫描列表中包含数百个求职相关的扩展。LinkedIn 能在用户告知雇主之前,就察觉到其正在悄悄寻找新工作。
  • 个人生活推断: 列表中还包括与政治、宗教、残疾辅助和神经多样性相关的扩展。你的浏览器软件成了推断你个人生活的来源,这些推断在不知不觉中被附加到你的职业身份上。
  • 企业信息外泄: LinkedIn 知道每个用户的工作单位。因此,通过扫描足够多员工的浏览器,LinkedIn 可以描绘出一家公司的内部工具、安全产品、竞争对手订阅和工作流程,而这一切都未经该公司知情或同意。你的浏览器成了通向你雇主的窗口。

这一切都没有在 LinkedIn 的隐私政策中披露。没有任何公开文件提及扩展扫描。没有用户被征求同意。没有用户被告知。

超越 LinkedIn:指纹生态系统的问题

浏览器指纹识别通常被看作是局限于单个网站的追踪问题,但实际情况远不止于此。浏览器指纹是 现代监控经济的结缔组织

LinkedIn 通过扩展扫描建立了一个与真实身份绑定的详细软件档案。这个档案的用途不限于 LinkedIn 平台:

  • 数据丰富化: 如果 LinkedIn 购买了第三方行为数据集,而你的指纹出现在其中,他们就能将这些数据(如你在其他网站的浏览行为、购买历史、位置模式)附加到你的 LinkedIn 档案中。
  • 数据输出: LinkedIn 也集成了第三方脚本(如 Google reCAPTCHA)。你在 LinkedIn 上形成的、与真实身份绑定的指纹,可以反过来为 LinkedIn 之外的广告和追踪系统提供信息。

你登录一次 LinkedIn,这次访问产生的指纹就可能在整个网络上跟随你。你的职业身份、浏览行为、安装的软件和位置历史被缝合在一起,形成了任何单一平台都无法独立构建的完整画像。

技术原理与自行验证

LinkedIn 的扩展扫描并非独立功能,而是其更广泛的设备指纹系统 APFC(反欺诈平台功能集,内部也称 DNA,设备网络分析)的一部分。该系统还会收集画布指纹、已安装字体、屏幕分辨率、本地 IP 地址等 48 项浏览器和设备特征。

你可以亲自验证这一行为:

  • 在 Chrome 浏览器中打开 LinkedIn。
  • 按 F12 或右键点击“检查”打开开发者工具。
  • 切换到“控制台”(Console)标签页。
  • 你看到的每一个红色错误,都代表 LinkedIn 试图检测一个你未安装的扩展,也是你指纹的一部分。

技术实现:

  • LinkedIn 在一个经过压缩和 混淆 的大型 JavaScript 文件中,硬编码了一个包含 6,278 个扩展 ID 和特定文件路径的列表。
  • 它通过 fetch() 请求访问 chrome-extension:// URL。如果扩展已安装,请求会成功;如果未安装,Chrome 会阻止请求并报错。
  • 一个名为 Spectroscopy 的辅助系统会扫描整个页面,寻找由扩展程序留下的 chrome-extension:// 链接痕迹。
  • 所有检测到的扩展 ID 会被打包、用 RSA 公钥加密,然后发送到 LinkedIn 的服务器。此后,这个加密指纹会作为 HTTP 标头,附加在你在该网站上的每一次后续操作请求中。

法律背景与刑事调查

根据欧盟的 《数字市场法案》(DMA),微软(LinkedIn 的母公司)被指定为“看门人”,其产品 LinkedIn 受到该法案的严格监管。该法案禁止“看门人”打压使用第三方工具的用户。

有观点认为,LinkedIn 系统性地对使用特定扩展的用户采取行动,并利用秘密扫描来识别这些用户,构成了对该法规的违反。

目前,此事已不仅是合规争议。

德国巴伐利亚州中央网络犯罪检察院的网络犯罪部门已确认对此展开调查。该机构负责处理具有跨辖区影响的严重网络犯罪案件。这不是一起合规纠纷,而是一起刑事案件