ビジネスSNSの LinkedIn のサイトが、ユーザーの使っているブラウザ拡張を監視する JavaScript のコードを埋め込んでいるそうです。
発見者のダン・アンドリュース氏(Dan Andrews, GitHub @dandrews)は、これがユーザーのプライバシーを侵害した、スパイ行為だと書いています。
Hacker News のコメントでは、スパイ行為というより、LinkedIn のユーザー情報を集めてスパムを送ろうとする悪質な業者の拡張をリストする、つまりユーザーを守るためにやっているのではないか、という反論もあります。
リンクトインのビジネスモデルの一つは、有料ユーザーになると他の多数のメンバーに直接連絡が取れるというものですから、ユーザー情報を抜き出して直接連絡されては商売の邪魔だ、という指摘もあります。
リンクトイン側が問題なのか、各ブラウザ拡張の提供側が問題なのかはわかりませんが、リンクトインがブラウザ拡張の存在を知るためには2つの仕組みが使われているそうです。
一つ目は、拡張が使うリソースの存在から調べるという方法。ローカルに展開された画像などのリソースにアクセスしてみて、そのファイルが存在すればブラウザ拡張がインストールされているとわかる、というものです。
二つ目は、監視対象の拡張が動作することで使われるデータを調べる方法。たとえば、html のid や class の存在を読んでみて当てるというもの。
リンクトインのウェブサイトは、これらの情報から監視対象のブラウザ拡張の有無を調べ、localStorage に拡張名を暗号化した上で保存しているようです。
ブラウザ拡張でチェックされているものを確認
アンドリュース氏が作成したChrome拡張 Nefarious LinkedIn は、LinkedIn が存在を追跡している Chrome拡張のリストを表示してくれるというものです。現在は、38個のブラウザ拡張がチェックされているよう。
インストールして LinkedIn を開きログインすると、右上のアイコンから実際に監視されている拡張のリストを表示することができます。
via Hacker News