转载:https://news.zol.com.cn/883/8832472.html
2024-07-10 17:22:00·[??中关村在线 原创??]·作者:薄荷糖的夏天
近日,一位开发者在检查Chromium源代码时发现了一个私有API。这个API只对谷歌主域名*.google.com开放,允许谷歌网站读取用户电脑的详细硬件信息,包括CPU使用率、GPU使用率、内存使用率以及访问CPU规格信息等。
任何人都可以在自己的Chrome浏览器进行复现,步骤如下:用Chrome打开Google的网站(*.google.com网站),在Chrome Dev Tool的控制台输入:"chrome.runtime.sendMessage(nkeimhogjdpnpccoofpliimaahmaaome, {method: cpu.getInfo}, response => {console.log(JSON.stringify(response, null, 2));})",然后就可以看到自己电脑的CPU信息。这种仅面向特定域名开放的做法可能会涉及隐私问题,并且可能违反相关法律。
进一步分析发现,这个私有API是通过一个内置的Chrome扩展程序实现的。然而,这一扩展对用户来说是完全隐蔽的,用户无法禁用该扩展程序,也无法在扩展程序管理页面中找到它。至少已经发现两款基于Chromium的第三方浏览器——Microsoft Edge和Brave浏览器——也内置了该扩展程序。这表明其他基于Chromium项目开发的浏览器很可能也存在同样的问题。目前尚不清楚谷歌是否会更新Chrome,允许用户禁用这个扩展。
相关论坛
相关广告
拨打电话