返回部落格
資安
5 min

瀏覽器擴充功能的安全風險:外掛如何竊取你的資料

了解惡意瀏覽器擴充功能如何竊取密碼、注入廣告、追蹤瀏覽紀錄。Chrome線上應用程式商店的真實案例、權限紅旗警示以及如何審查已安裝的擴充功能。

LOCK.PUB
2026-03-06
瀏覽器擴充功能的安全風險:外掛如何竊取你的資料

瀏覽器擴充功能的安全風險:外掛如何竊取你的資料

廣告攔截、密碼管理、文法檢查、優惠券搜尋。大多數人安裝瀏覽器擴充功能時完全不會多想,因為方便好用。但每一個擴充功能都是在瀏覽器內部運行的軟體,根據你授予的權限,它可能可以存取你在網路上做的所有事情。

並非所有擴充功能都是出於好意開發的。有些從一開始就是為了收集資料而建立的,有些原本是正規的擴充功能,但被賣給第三方之後推送了惡意更新。Chrome線上應用程式商店的審核機制並不完善。

擴充功能如何存取你的資料

安裝擴充功能時,你會授予它一系列權限。這些權限決定了擴充功能能看到什麼、能做什麼。

  • 讀取及變更你在所有網站上的資料:可以看到你造訪的每個頁面、填寫的每個表單、輸入的每個密碼
  • 讀取瀏覽記錄:完全存取你造訪過的所有網址
  • 管理下載項目:可以觸發下載或讀取你的下載紀錄
  • 修改你複製和貼上的資料:可以攔截剪貼簿中複製的密碼等內容
  • 與本機應用程式通訊:可以與瀏覽器外部的軟體進行互動

大多數使用者不看權限清單就點擊「加到Chrome」。這一次點擊,就可能把網路銀行、電子郵件帳戶和所有密碼的存取權交給一個陌生的開發者。

惡意擴充功能的真實案例

這些不是假設的情境,而是有紀錄的真實事件。

The Great Suspender(2021年)

這款擁有超過200萬使用者的熱門Chrome擴充功能被賣給了一個身分不明的實體。新的擁有者推送了包含惡意程式碼的更新,用於追蹤使用者的瀏覽行為並注入廣告。Google最終將其從Chrome線上應用程式商店下架。

DataSpii(2019年)

資安研究人員發現,包括Hover Zoom和SpeakIt在內的多款熱門擴充功能正在收集使用者造訪的每一個網址,並將資料出售給分析公司。被收集的資料包括報稅資料、病患資訊、旅行行程等透過網址存取的私人文件。

Web Developer for Chrome(2017年)

開發者帳戶被劫持,向100多萬使用者推送了惡意更新。被竄改的版本在使用者造訪的每個網頁中注入廣告。

Nano Adblocker和Nano Defender(2020年)

這兩款熱門廣告攔截擴充功能被出售給新開發者後,更新中加入了收集瀏覽資料和操控社群媒體帳戶的程式碼,影響了30多萬使用者。

權限紅旗警示

並非所有權限都是危險的,但有些權限應該讓你在安裝前三思。

權限 風險等級 原因
讀取及變更所有網站上的資料 可存取瀏覽器中的一切
讀取瀏覽記錄 可查看所有造訪過的網站紀錄
管理下載項目 可能觸發不需要的下載
修改複製和貼上的資料 可竊取複製的密碼和敏感文字
讀取及變更書籤 對隱私的影響有限
顯示通知 可能惱人但不危險
管理應用程式、擴充功能和佈景主題 可以安裝或修改其他擴充功能

判斷標準:如果一個簡單的工具(比如取色器或截圖工具)要求讀取你在所有網站上的資料,那就有問題了。權限應該與功能相符。

如何審查已安裝的擴充功能

Chrome

  1. 在網址列輸入 chrome://extensions/
  2. 查看每個擴充功能,點擊「詳細資料」檢查權限
  3. 移除不認識的或不再使用的擴充功能
  4. 對保留的擴充功能逐一確認:是否來自知名開發者?最後更新時間是什麼時候?權限是否與功能相符?

Firefox

  1. 在網址列輸入 about:addons
  2. 點擊每個擴充功能查看其權限
  3. 在addons.mozilla.org的擴充功能頁面可以查看詳細的權限說明

Edge

  1. 在網址列輸入 edge://extensions/
  2. 與Chrome相同的流程。Edge使用相同的擴充功能格式,權限系統也是一樣的

Safari

  1. 前往Safari > 設定 > 延伸功能
  2. 查看每個擴充功能可以存取哪些網站
  3. Safari對擴充功能的限制比Chrome嚴格,但仍然要檢查已安裝的擴充功能

每3個月做一次這樣的審查。 擴充功能隨時可能更換擁有者並推送惡意更新。

擴充功能安全使用的最佳做法

  1. 保持最少安裝量:只安裝真正在用的。每個擴充功能都是一個潛在的攻擊面
  2. 優先使用開源擴充功能:像uBlock Origin這樣程式碼公開的擴充功能,資安研究人員可以進行審查
  3. 查看開發者資訊:有網站和聲譽的公司比匿名開發者更可靠
  4. 查看近期評價:突然出現大量負評通常意味著惡意更新或擁有權變更
  5. 安裝前檢查權限:如果優惠券擴充功能要求讀取所有瀏覽資料,換一個用
  6. 更新瀏覽器:瀏覽器更新通常包含限制擴充功能行為的安全修補
  7. 使用獨立的瀏覽器設定檔:在沒有安裝任何擴充功能的設定檔中進行網路銀行等敏感操作
  8. 關注擁有權變更:收到擴充功能隱私政策變更通知時,立即調查

敏感資訊需要更安全的保護

瀏覽器擴充功能只是資料可能外洩的途徑之一。如果你經常透過瀏覽器分享密碼、門禁密碼或機密筆記,風險會倍增。

把密碼直接傳到LINE上,聊天紀錄會永久保留,惡意擴充功能也可能攔截到這些內容。使用LOCK.PUB,你可以建立一個有密碼保護的連結來傳遞敏感文字,並設定到期時間。時間到了之後,存取就會被阻斷。聊天紀錄中不會留下原文,擴充功能自然也無法截取。

現在就檢查你的擴充功能

瀏覽器是通往你最敏感帳戶的入口。每一個安裝的擴充功能都可能成為安全漏洞。今天就整理你的擴充功能,移除不需要的,以後安裝時要更加謹慎。分享敏感資訊時,請使用LOCK.PUB這樣值得信賴的專用工具。

建立密碼連結 -->

相關關鍵詞

瀏覽器擴充功能安全
Chrome擴充功能風險
惡意瀏覽器擴充功能
瀏覽器擴充功能隱私
危險的Chrome擴充功能
瀏覽器擴充功能權限

推薦閱讀

銀行帳號用LINE傳安全嗎?如何安全分享轉帳資訊

還在用LINE直接傳銀行帳號?了解通訊軟體分享金融資訊的風險,學會4種安全傳輸帳戶資訊的方法。

金融安全

如何安全地分享密碼:4種實用方法完整比較

一份線上安全分享密碼的實用指南。比較密碼保護連結、密碼管理工具、端對端加密訊息和閱後即焚筆記,找到最適合你的方式。

Security Guide

最佳密碼管理器比較 — 2026年指南

比較最佳密碼管理方案:瀏覽器內建、1Password、Bitwarden、LastPass等。優缺點、價格以及選擇時的注意事項。

密碼安全

立即建立密碼保護連結

免費建立密碼保護連結、加密備忘錄和加密聊天。

免費開始
瀏覽器擴充功能的安全風險:外掛如何竊取你的資料 | LOCK.PUB Blog