你的浏览器插件正在合法出售你的数据,而你早就点了同意

浏览器插件看起来人畜无害，但最新研究发现，有大量插件正在收集用户数据并将其转售获利，而且这一切完全合法。与那些伪装成正规插件的恶意软件不同，这些插件明确告诉用户他们将要收集和出售数据，相关信息就写在隐私政策里，只是没有人会去读。

安全研究人员分析了数千款插件的隐私政策，发现超过八十款插件存在收集和出售用户数据的行为。其中包括一个由二十四款媒体插件组成的网络，安装在八十万用户的浏览器中，收集Netflix、Hulu、迪士尼等主流流媒体平台的观看数据。还有十二款广告拦截器，合计拥有超过五百五十万用户，也在公开出售用户数据。

事实上，Chrome应用商店中百分之七十一的插件根本没有发布隐私政策，超过百分之七十三的用户至少安装了一款没有隐私政策的插件，完全不清楚自己的数据会被如何处理。如果假设那些没有隐私政策的插件也会转售数据，那么整个Chrome商店中可能出售用户数据的插件数量恐怕数以万计。

在分析过程中，一个模式反复出现。不同的插件，不同的流媒体平台，但都带有相同的前缀。原本看起来互不相关的工具，实际上属于同一个运营方，涵盖几乎所有主流流媒体服务。这二十四款插件全部由同一家公司发布，合计覆盖近八十万用户。这些插件的隐私政策里写着收集观看历史、内容偏好、平台订阅情况，还会收集年龄和性别。如果你不主动提供，它们会通过你的邮箱匹配第三方数据库来补全信息。政策中描述了将报告出售给内容创作者、制片公司、流媒体平台和营销机构。这意味着一个匿名的发布者正在用户浏览器内部运行一个分布式受众测量系统，而这些用户根本没有主动同意。

广告拦截器的情况同样令人警惕。人们安装这些工具本来是为了阻止跟踪，结果它们却在出售跟踪数据。一款拥有三百万用户的广告拦截器将浏览数据出售给第三方用于市场分析，另一款拥有两百万用户的拦截器甚至会从访问的URL中推断健康状况、宗教信仰和性取向等敏感数据。一款求职自动申请工具在隐私政策中声明，可能会将从简历中收集的个人数据出售给数据经纪人。一款临时邮箱服务，人们专门用它来避免分享真实信息，其政策却声明可能出售邮件列表。