文章总结： 安全研究人员揭露领英通过向Chrome用户提供的JavaScript文件秘密扫描超6000种浏览器扩展并收集48项设备指纹数据，影响数亿用户。该系统采用三阶段检测机制，并与具有以色列情报背景的网络安全公司HumanSecurity共享数据，可能泄露用户宗教、政治等敏感信息。领英称该机制用于反滥用检测，但调查显示其技术能力远超传统追踪模式，存在国家级数字情报安全风险。 综合评分： 95 文章分类： 数据安全,隐私保护,威胁情报,网络安全,应用安全

三个检测阶段，每个阶段都能发现前一个阶段遗漏的信息

该检测架构采用三阶段回退链式结构，每一层都旨在捕获前一层无法触及的扩展程序。根据 Fairlinked 的技术文档，第一阶段是直接通信：代码尝试使用 Chrome 的 externally_connectable 消息传递 API 来连接扩展程序。如果扩展程序开发者在其 manifest.json 文件中禁用了此通道，则检测失败，系统进入第二阶段。

第二阶段是资源探测，它使用浏览器的 fetch() API 向每个扩展程序请求一个已知的内部文件。调查显示，LinkedIn 通过这种方法测试所有 6222 个扩展程序，并使用 Promise.allSettled() 函数同时发出所有请求。如果响应为成功，则表示该扩展程序已安装；如果响应为失败，则表示未安装。另一种顺序模式由名为 staggerDetectionMs 的参数控制，该模式会在每次探测之间引入可配置的延迟，从而减慢扫描速度，降低其在网络监控工具中的可见性。

第三阶段——LinkedIn称之为“光谱分析”——的运行方式有所不同。它并非查询扩展程序文件，而是遍历页面的整个DOM树，检查每个文本节点和元素属性中是否存在字符串“chrome-extension://”。任何向页面注入元素、修改属性或添加脚本的扩展程序都会在DOM中留下痕迹，而光谱分析会提取这些痕迹。32个字符的扩展程序ID则从URL片段中提取。根据调查，即使VPN修改了渲染页面上的单个像素，也能通过这种方法检测到。

这两种方法以一种特定的方式相互补充。通过 fetch() 函数进行主动扩展检测可以识别已安装但未向当前页面注入任何内容的扩展程序。光谱分析则可以捕获那些主动修改页面但可能不在 LinkedIn 硬编码列表中的扩展程序。根据调查，这两种方法结合起来可以涵盖所有情况。

一个包含48个数据点的指纹

扩展程序检测是更广泛的设备指纹识别系统的一部分，调查部门内部将其称为 APFC（反欺诈平台特征收集），也称为 DNA（设备网络分析）。根据技术文档，该系统收集 48 种不同的浏览器和设备特征，分类如下。

硬件标识符包括 CPU 核心数、可用设备内存、屏幕分辨率和色深，以及通过使用振荡器、压缩器和分析器节点的 AudioContext 指纹捕获的音频硬件特性。网络特性包括通过 WebRTC 获取的本地 IP 地址、连接类型、下行速度和往返时间。Canvas 和 WebGL 指纹通过渲染的隐藏元素捕获；仅 WebGL 指纹就收集了 65 个不同的参数值以及渲染器和供应商字符串。系统还通过浏览器的 enumerateDevices API 枚举已安装的系统字体、已连接的摄像头、麦克风和扬声器，并记录电池电量、充电状态和预计放电时间。

该数据集中有一项数据尤为突出。调查显示，APFC 列表中的第 23 项特征是 doNotTrack——用户通过浏览器设置表明他们不希望被追踪。调查记录显示，LinkedIn 会记录此设置，但随后在第 9512 行使用参数 excludes: { doNotTrack: true } 将其从指纹哈希中排除。数据已被收集，只是没有包含在用于识别的指纹中。LinkedIn 记录了用户要求不被追踪，然后又追踪了他们。

将 48 个特征和扩展扫描结果合并后，有效载荷会被序列化为 JSON 格式，并使用名为 apfcDfPK 的 RSA 公钥进行加密。加密后的有效载荷会被发送到三个端点：linkedin.com/li/track、/platform-telemetry/li/apfcDf 和 /apfc/collect。然后，它会被存储在 globalThis.apfcDf 中，并作为 HTTP 标头注入到会话期间发出的每个后续 API 请求中。在访问期间，每次搜索、每次个人资料查看、每次连接请求都会携带加密后的指纹作为标头。

与三方网络安全公司共享数据流

调查进一步揭示，LinkedIn收集的数据不仅限于自身服务器，还会传输给第三方。其中最受关注的是HUMAN Security（前身为PerimeterX），一家总部位于美国纽约的网络安全公司。

根据文档，LinkedIn 会加载一个来自 li.protechts.net 的隐藏 iframe，该 iframe 的尺寸为 0x0 像素，位于左侧 -9999px，并标记为 aria-hidden=”true”。该 iframe 会传递时间戳、页面树 ID、哈希会话 cookie (bcookie) 以及硬编码的应用 ID（生产环境中为 PXdOjV695v）。它通过跨域 postMessage 读取和设置 PerimeterX 的 cookie，包括 _px3、_pxhd、_pxvid 和 pxcts。LinkedIn 于 2024 年 5 月将 HUMAN Security 集成到其广告平台中，作为其无效流量检测的合作伙伴。BrowserGate 的调查显示，HUMAN Security 的集成在浏览器基础架构层面运行，每次页面加载都会影响所有用户，而不仅仅是在广告环境中。

需要注意的是，HUMAN Security绝非普通的商业安全公司。HUMAN Security（原White Ops）于2012年在纽约布鲁克林创立，2022年与以色列公司PerimeterX合并，后者创始人具有以色列国防军8200部队背景。HUMAN Security的背后是Blackstone等美国顶级私募巨头，且与 FBI、美国司法部等执法部门有着长期的溯源合作关系，曾主导破获了震撼全球的 Methbot 跨国网络犯罪案。

“浏览器门”主要影响全球使用Chromium内核浏览器（包括Chrome、Edge、Brave、Opera等）访问LinkedIn的用户。加密后的数据最终传输至位于美国的LinkedIn服务器。针对指控，LinkedIn回应称相关机制旨在识别违反服务条款的自动化抓取工具，属于反滥用基础设施的一部分，并非用于推断用户敏感信息或开展不当情报活动。

结语

此事件反映出当前互联网平台在用户数据获取方面的技术能力已经远超传统 cookie 追踪模式。浏览器扩展扫描、设备指纹识别以及跨平台数据整合，使平台能够构建高度稳定的“技术身份标识”。当这种技术身份与 LinkedIn 上的真实身份信息（姓名、公司、职位、职业关系网络等）结合时，就可能形成具有高度解析能力的行为数据体系。

在当前的数字地缘博弈中，硬件即指纹，数据即主权。

当一个社交平台能够穿透浏览器的屏障，并与具有国家背景的安全实体共享流数据时，用户的个人隐私已不再是唯一的牺牲品——它所承载的，极有可能是国家级的数字情报安全风险。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：猫头鹰OSINT Owllntel Owllntel《领英“浏览器门”事件：一个隐蔽情报系统的完整剖析》