admin 发表于 2024-7-11 01:27:58

Leaking private APIs in Chromium lets Google’s sites read more PC hardware...

Chrome is the open-source browser project led by Google, and the Chrome browser, Microsoft's Edge browser, as well as other browsers such as Opera, Brave, Vivaldi, etc., are all built based on the Chromium project. Recently, developer @lcasdev discovered something shocking in the Chromium source code: Google has预留了一项私有API,该API仅面向Google主域名 *.google.com 开放。这个API是用来做什么的呢?利用该API,Google网站可以读取CPU使用率、GPU使用率、内存使用率、访问CPU规格信息、提供日志记录等功能。正常情况下,网站只能通过UserAgent即用户代理字符串来获取用户PC上的信息,能够获取到的信息通常包括CPU架构、操作系统版本或其他方式获取屏幕分辨率。然而,Google可以通过私有API获取更详细的硬件信息,并且考虑到可能存在隐私问题,而且仅面向Google域名开放的行为违反了欧盟最新的数字市场法案(DMA)。举例说明,Google Meet和Zoom都提供了视频会议功能,借助这个私有API,Google可以尽可能地优化Google Meet在PC上的表现效果,而Zoom则无法获得CPU/GPU详细使用信息,因此优化力度肯定不如Google。在竞争中,Zoom处于劣势,Google利用Chrome制造了不公平的竞争地位。进一步分析发现,这个私有API是通过Chrome扩展程序(nkeimhogjdpnpccoofpliimaahmaaome)实现的,但是用户无法禁用该扩展程序也无法在扩展程序管理页面中找到这个扩展程序,这对用户来说一直都是完全私密的。值得一提的是,至少已经发现了两款基于Chromium的第三方浏览器也内置了这个扩展程序,显然这些浏览器开发商没有注意到这种情况,否则在开发浏览器时应该早些删除这个扩展程序。这两款浏览器分别是Microsoft Edge和Brave浏览器,相信基于Chromium项目开发的其他浏览器也应该都内置了这个扩展程序向Google网站提供用户的更多硬件信息。由于这个问题的存在,越权、隐私和可能违反DMA的问题,Google可能会发布回应,不过目前还不清楚Google是否会更新Chrome让用户可以禁用这个扩展。
页: [1]
查看完整版本: Leaking private APIs in Chromium lets Google’s sites read more PC hardware...