IPOK.cc

LinkedIn BrowserGate: раскрыт секретный сканер расширений

doc

Скандал BrowserGate: LinkedIn внедряет 2,7-мегабайтный JavaScript-пакет 'Spectroscopy', который скрыто зондирует более 6000 расширений Chrome и собирает 48 характеристик устройства. В политике конфиденциальности об этом ни слова. Разбираемся в технических деталях и методах защиты.

LinkedIn BrowserGate: раскрыт секретный сканер расширений

Дата публикации: апрель 2026
Исследователи: Fairlinked e.V.
Подтверждено: BleepingComputer

Что такое BrowserGate?

Каждый раз, когда вы открываете LinkedIn в браузере на основе Chrome, в фоновом режиме скрыто работает JavaScript-процедура — и вам об этом ничего не сказано.

Согласно расследованию, опубликованному в начале апреля 2026 года европейской исследовательской организацией Fairlinked e.V., LinkedIn внедряет в свою платформу JavaScript-пакет размером 2,7 МБ, который без согласия пользователя и без какого-либо видимого уведомления выполняет следующие действия:

  1. Сканирует 6000+ расширений Chrome — одновременно отправляя тысячи запросов для определения установленных расширений
  2. Собирает 48 характеристик программного и аппаратного обеспечения устройства
  3. Шифрует полученный отпечаток и прикрепляет его к каждому запросу API в течение сессии
  4. Ни одна из этих операций не указана в политике конфиденциальности LinkedIn

LinkedIn называет эту систему "Spectroscopy" (спектроскопия). Компания заявляет, что это мера безопасности. Критики называют это скрытой слежкой за миллиардом пользователей в промышленных масштабах. Технические факты не оспариваются.

Как работает скрипт Spectroscopy

Фингерпринтинг расширений

Скрипт пытается получить доступ к файлам, связанным с каждым из 6222 конкретных идентификаторов расширений Chrome. Наличие или отсутствие ответа указывает на то, установлено ли расширение. Всё это выполняется в виде невидимых фоновых запросов.

Что это говорит о вас:

  • Используете ли вы такие инструменты конфиденциальности, как uBlock Origin, Privacy Badger или NoScript
  • Установлены ли у вас расширения безопасности, такие как HTTPS Everywhere или менеджеры паролей
  • Конкретная комбинация расширений создаёт высокоуникальный отпечаток

Сбор данных об устройстве

Помимо сканирования расширений, скрипт собирает 48 характеристик устройства:

  • Характеристики рендеринга Canvas (зависят от GPU)
  • Рендерер и информация о поставщике WebGL
  • Данные фингерпринтинга AudioContext
  • Разрешение и глубина цвета экрана
  • Установленные шрифты (обнаружение на основе рендеринга)
  • Часовой пояс и языковые настройки

Зашифрованная телеметрия

Все собранные данные шифруются и передаются на серверы LinkedIn, где прикрепляются к каждому запросу API в течение сессии. Это означает, что ваше «анонимное» поведение при просмотре LinkedIn может быть связано с помощью отпечатка расширений между сессиями.

Что говорит LinkedIn vs. Что обнаружили исследователи

Аспект Позиция LinkedIn Выводы исследователей
Цель Мера безопасности против фейковых аккаунтов и ботов Никаких пояснений по механизму безопасности не предоставлено
Согласие Подразумевается условиями использования В политике конфиденциальности нет упоминания о сканировании расширений
Масштаб Ограниченное использование в целях безопасности Профилирование пользователей на протяжении всей сессии
Раскрытие Внутренний инструмент безопасности Полное отсутствие в политике конфиденциальности
Хранение данных Не указано Зашифрованные отпечатки сохраняются между сессиями

Европейский совет по защите данных (EDPB) в 2026 году определил фингерпринтинг браузера как приоритет регулирования. По словам исследователей, описание EDPB — это «по сути прямое описание того, что делает система Spectroscopy от LinkedIn».

Влияние на конфиденциальность и безопасность

1. Необнаружимая слежка без Cookie

Фингерпринтинг расширений сохраняется при:

  • Приватном/инкогнито режиме просмотра
  • Очистке Cookie
  • Использовании VPN
  • Перезапуске браузера

Ваш отпечаток расширений привязан к аккаунту LinkedIn, создавая постоянный идентификатор между сессиями.

2. Вывод конфиденциальной личной информации

Расширения, которые вы устанавливаете, могут раскрыть:

  • Политические взгляды (инструменты конфиденциальности/безопасности)
  • Религиозные убеждения (определённые расширения)
  • Состояние здоровья (медицинские инструменты браузера)
  • Профессиональную деятельность (исследователи безопасности vs обычные пользователи)

3. Возможность связать данные между сайтами

Даже если вы никогда не кликаете по рекламе LinkedIn, собранный во время визита отпечаток теоретически может использоваться для:

  • Связывания вашего профиля LinkedIn с вашим поведением на других сайтах
  • Построения профиля ваших интересов и профессиональной деятельности в интернете
  • Потенциальной деанонимизации между сессиями

4. Театр безопасности

Утверждение LinkedIn о том, что это «мера безопасности», подрывается следующим:

  • Настоящие инструменты безопасности открыто раскрываются (например, reCAPTCHA)
  • Сканирование не обеспечивает видимой защиты для пользователей
  • Собранные данные далеко выходят за рамки того, что требуется для обнаружения ботов

Как проверить, затронуты ли вы

Ручная проверка

  1. Откройте LinkedIn в Chrome
  2. Откройте Инструменты разработчика (F12 → вкладка Сеть)
  3. Отфильтруйте по extension или найдите массовые запросы к chrome-extension://
  4. Вы увидите тысячи одновременных запросов на обнаружение идентификаторов расширений

Что раскрывает ваш браузер

Посетите Тест фингерпринта браузера, чтобы узнать, какие уникальные характеристики раскрывает ваш браузер — включая то, делает ли список ваших расширений вас уникально идентифицируемым.

Нормативно-правовой контекст

Расследование BrowserGate привлекло внимание:

  • Европейского совета по защите данных (EDPB) — фингерпринтинг браузера определён как приоритет на 2026 год
  • Органов GDPR — потенциальные нарушения требований согласия согласно Статье 7
  • Органов по защите прав потребителей — нераскрытые практики сбора данных

То, что политика конфиденциальности LinkedIn не содержит ни единого упоминания о сканировании расширений, спектроскопии или используемых конечных точках телеметрии, скорее всего станет основой регуляторных жалоб.

Что вы можете сделать

Немедленные меры защиты

  1. Используйте отдельный браузер или профиль для LinkedIn — изолируйте LinkedIn от вашего обычного фингерпринта
  2. Отключите JavaScript на LinkedIn (только для чтения) — это предотвратит работу скрипта Spectroscopy, но некоторые функции будут недоступны
  3. Используйте Firefox со строгими настройками конфиденциальности — Firefox по умолчанию блокирует многие векторы фингерпринтинга
  4. Установите расширения против фингерпринтинга — например, Canvas Blocker или AudioContext Fingerprint Defender

Долгосрочные соображения

  • Требуйте прозрачности — свяжитесь с LinkedIn и потребуйте раскрытия собираемых данных
  • Рассмотрите альтернативы — платформы профессиональных контактов, уважающие конфиденциальность, существуют
  • Следите за регуляторными событиями — руководство EDPB по фингерпринтингу браузеров ожидается в 3-м квартале 2026 года

Заключение

BrowserGate представляет собой одну из наиболее значительных проблем конфиденциальности 2026 года. Платформа с миллиардом пользователей, которая скрыто собирает фингерпринты через расширения браузера — без раскрытия, без механизма согласия, без прозрачности в вопросах безопасности — это именно тот систематическое нарушение конфиденциальности, против которого были разработаны законы о защите данных.

Вопрос уже не в том, приемлема ли эта практика. Вопрос в том, как отреагируют регуляторы.

Читайте также: Фингерпринтинг браузера на сетевом уровне: анализ 2026

Источники: Fairlinked e.V. BrowserGate Report, The Next Web, BleepingComputer

LinkedIn BrowserGate: раскрыт секретный сканер расширений