因窃取用户数据 Stylish从Firefox与Chrome下架

Stylish 暗中记录用户的浏览器历史记录并将数据发送到远程服务器...

近日，谷歌和 Mozilla 将 Stylish 插件从其各自的应用中心删除。一份 bug report 显示，Stylish 暗中记录用户的浏览器历史记录并将数据发送到远程服务器，Mozilla 对此作出了说明，而谷歌则直接将其从扩展中心下架。最早是一位软件开发人员 Robert Heaton 在其博客中指出了 Stylish 的问题。

Stylish 是一款可以帮助用户利用样式管理器来重新编辑网站的样式的 Chrome 插件。用户利用 Stylish 为许多网站安装主题和皮肤，也可创建自己的主题和皮肤。

最早是一位软件开发人员 Robert Heaton 在其博客中指出了 Stylish 的问题。他表示，Stylish 将用户的完整浏览网页记录发送回其服务器，并附带唯一标识符。这允许其所有者 SimilarWeb 将用户的个人活动连接到单个配置文件中，从而可以轻松地将此唯一标识符链接到网站登录 cookie。这意味着 SimilarWeb 不仅拥有用户完整浏览历史的副本，而且还拥有足够的其它数据，理论上可以知道电子邮件地址和用户真实身份。



如上图，Robert 拦截网络请求后，知道 Stylish 的操作并不常规，他将其解码后发现了端倪，意识到 Stylish 正在浏览其所有浏览记录。

Stylish 是知名的浏览器插件，在此之前仅 Firefox 上就有 300K 用户量，它可以帮用户重新定义网页的样式，比如改变颜色或者拿掉不需要的内容。

推荐阅读：

• 知名加密通讯应用Signal计划强化隐私保护
• 麻省理工最新研究：防范信号干扰攻击窃取IoT数据
• 黑客可利用PDF文件窃取Windows凭证
• 微信、微博、陌陌等APP用户小心！新型安卓木马可窃取聊天记录
• 能想象吗？每人每天产生140GB数据，存储还是放弃？
• 德国间谍机构被起诉！被指监控全球互联网交换数据
• 9200多万用户数据泄露，以色列家谱网站这波儿操作get

▼点击“阅读原文” 查看更多精彩内容

    关注 E安全