7月10日消息,在对Chromium项目的源代码进行审查时,开发者们发现谷歌预留了一个私有的API接口。这个API的独特之处在于,它仅限于谷歌自家的主域名.google.com使用,这意味着除了谷歌自己的网站和服务之外,其他任何外部开发者或网站都无法访问和利用这个API的功能。
这个API只对谷歌主域名*.google.com开放,允许谷歌网站读取用户电脑的详细硬件信息,包括CPU使用率、GPU使用率、内存使用率以及访问CPU规格信息等。
任何人都可以在自己的Chrome浏览器进行复现,步骤如下:
用Chrome打开Google的网站(*.google.com网站),在Chrome Dev Tool的控制台输入:
chrome.runtime.sendMessage('nkeimhogjdpnpccoofpliimaahmaaome', {method: 'cpu.getInfo'}, response => {console.log(JSON.stringify(response, null, 2));});
然后就可以看到自己电脑的CPU信息。
正常情况下,网站只能通过UserAgent即用户代理字符串来获取用户PC上的有限信息,如CPU架构、操作系统版本或屏幕分辨率。
然而,谷歌通过私有API能够获取的硬件信息要详细得多,这不仅可能涉及隐私问题,而且这种仅面向特定域名开放的做法,还可能违反了相关法律。
例如,Google Meet和Zoom都提供视频会议功能,借助这个私有API,谷歌可以尽可能优化Google Meet在PC上的表现效果,而Zoom则不能获得CPU/GPU的详细使用信息,因此在竞争中处于不利地位。
进一步分析发现,这个私有API是通过一个内置的Chrome扩展程序(ID:nkeimhogjdpnpccoofpliimaahmaaome)实现的。
但这一扩展对用户来说是完全隐蔽的,用户无法禁用该扩展程序,也无法在扩展程序管理页面中找到它。
此外,至少已经发现两款基于Chromium的第三方浏览器——Microsoft Edge和Brave浏览器——也内置了该扩展程序。
这表明其他基于Chromium项目开发的浏览器很可能也存在同样的问题,目前尚不清楚谷歌是否会更新Chrome,允许用户禁用这个扩展。
文明上网,理性发言,共同做网络文明传播者