Chromium 是谷歌主导的开源浏览器项目,谷歌的 Chrome 浏览器、微软的 Edge 浏览器以及 Opera、Brave、Vivaldi 等浏览器均基于 Chromium 项目构建。
日前开发者 @lcasdev 在检查 Chromium 源代码中发现了一个令人震惊的东西:谷歌竟然预留了私有 API,该 API 仅面向谷歌主域名 *.google.com 开放。
这个 API 是用来做什么的呢?利用该 API 谷歌网站可以读取 CPU 使用率、GPU 使用率、内存使用率、访问 CPU 规格信息、提供日志记录等。
正常情况下网站最多只能通过 UserAgent 即用户代理字符串来获取用户 PC 上的信息,能获取的到信息通常是 CPU 架构、操作系统版本或者通过其他方式获取屏幕分辨率。
谷歌通过私有 API 能够获取的硬件信息就详细多了,且不说这是否存在隐私问题,单是这个 API 仅面向谷歌域名开放就违反了欧盟最新的数字市场法案 (DMA)。
举个例子:Google Meet 和 Zoom 都提供视频会议功能,借助这个私有 API 谷歌可以尽可能优化 Google Meet 在 PC 上的表现效果,而 Zoom 并不能获得 CPU/GPU 详细使用信息,因此优化力度肯定不如谷歌,在竞争中 Zoom 处于劣势、谷歌利用 Chrome 制造了不公平的竞争地位。
进一步分析发现这个私有 API 是通过 Chrome 扩展程序 (ID:nkeimhogjdpnpccoofpliimaahmaaome) 实现的,但用户无法禁用该扩展程序也无法在扩展程序管理页面中找到这个扩展程序,所以这对用户来说一直是完全私密的。
值得注意的是目前至少已经发现两款基于 Chromium 的第三方浏览器也内置了该扩展程序,显然这些浏览器开发商应该并未注意到这种情况,否则在开发浏览器时应该早早就删了这个扩展程序。
这两款浏览器分别是 Microsoft Edge 和 Brave 浏览器,相信其他基于 Chromium 项目开发的浏览器应该也都内置了这个扩展程序向谷歌网站提供用户的更多硬件信息。
鉴于这个问题存在越权、隐私和可能违反 DMA 的问题,谷歌接下来可能会发布回应,不过暂时还不清楚谷歌是否会更新 Chrome 让用户可以禁用这个扩展。
