其JavaScript脚本悄悄扫描访问者的浏览器,以识别超过 6,000 种 Chrome 扩展并采集硬件相关数据
据 Fairlinked e.V. 的报告(并由 BleepingComputer 独立证实),LinkedIn 被发现会在每次页面加载时注入一段 JavaScript 指纹脚本,悄悄扫描访问者浏览器以识别 6,236 款已安装的 Chrome 扩展,并采集详尽的硬件与设备信息。
BleepingComputer 通过自身测试确认,该脚本还会收集 CPU 核心数、可用内存、屏幕分辨率、时区、语言设置和电池状态。
LinkedIn账号通常绑定真实姓名、雇主和职位,这类扩展和设备数据可能被用来识别个人身份。
相关发现最先刊登在 Fairlinked 的“BrowserGate”报告中。该报告指出,脚本通过尝试访问与特定扩展 ID 对应的文件资源来检测扩展是否安装,这是在基于 Chromium 的浏览器中常见且已记录的检测方法。一个 GitHub 仓库记录到 LinkedIn 在 2025 年扫描了约 2000 个扩展,另一个今年 2 月的仓库记录了约 3000 个扩展,而当前检测到的总数为 6236 个。
Fairlinked 的报告还表示这些数据被传送给一家美以合资的网络安全公司 HUMAN Security,但这一说法尚未得到独立证实。
LinkedIn向 BleepingComputer 表示,这种扫描是为了识别那些抓取数据或以其他方式违反服务条款的浏览器扩展。领英发言人说:“为保护会员隐私与数据,并确保网站稳定性,我们会查找在未获会员同意的情况下抓取数据的扩展。”公司还补充称,不会利用这些扫描数据去推断会员的敏感信息。
LinkedIn 还指出,Fairlinked 的报告由一位因抓取数据被限制账户的个人发布。此人与名为“Teamfluence”的浏览器扩展有关,LinkedIn 表示该扩展违反了平台条款。德国法院驳回了该人向 LinkedIn 请求的临时禁令,认为平台有权阻止从事自动化数据采集的账户。
LinkedIn 并非首个使用激进客户端指纹追踪的大型平台。2021 年,有报道称 eBay 利用 JavaScript 对访客设备进行自动端口扫描,以检测是否存在远程访问软件。后来同样的脚本也出现在花旗银行、道明银行和保险信用评级机构 Equifax 的网站上。
