据新书7月10日报道,近日,有开发者在检查Chromium源代码时发现,谷歌竟然预留了一个私人API。
这个API只针对谷歌主域名*.google.COM开放,允许谷歌网站阅读用户电脑的详细硬件信息,包括CPU利用率、GPU利用率、内存利用率和访问CPU规格信息。
任何人都可以在自己的Chrome浏览器中复制,步骤如下:
用Chrome打开Google网站(*.google.Chrome网站) Dev Tool控制台输入:
chrome.runtime.sendMessage("nkeimhogjdpnpccoofpliimaahmaaome", {method: "cpu.getInfo"}, response => {console.log(JSON.stringify(response, null, 2));});
然后就可以看到自己电脑的CPU信息了。
正常情况下,网站只能通过Useragent即用户代理字符串获取用户PC上的有限信息,如CPU架构、操作系统版本或屏幕分辨率。
然而,谷歌可以通过私人API获得更详细的硬件信息,这不仅可能涉及隐私问题,而且只对特定域名开放,而且可能违反相关法律。
例如,Google Meet和Zoom都提供视频会议功能,借助这个私人API,谷歌可以尽可能优化Google Meet在PC上的表现效果,Zoom则无法获得CPU/GPU的详细使用信息,因此在竞争中处于不利地位。
实测Edge浏览器也存在这种情况
进一步分析发现,私有API是通过内置的Chrome扩展程序(ID:nkeimhogjdpnpccoofpliimaahmaaome)实现的。
但这种扩展对用户来说是完全隐蔽的,用户不能禁用扩展程序,也不能在扩展程序管理页面中找到它。
此外,至少发现了两个基于Chromium的第三方浏览器——Microsoft Brave浏览器——还内置了扩展程序。
这表明,基于Chromium项目开发的其他浏览器可能也有同样的问题。目前尚不清楚谷歌是否会更新Chrome,允许用户禁止此扩展。
[本文结尾]如需转载,请务必注明出处:新书
责任编辑:黑白
文章内容报告
还没有评论,来说两句吧...