🚀阿江的数字花园

搜索⚡

Search IconIcon to open search

关于Cubox浏览器插件疑似违规上传用户网页浏览记录

⏲上次更新的时间是 Apr 10, 2024

image.png Cubox一款较为方便的稍后读使用软件,但由于其定价年费98元导致阿江没有使用。 image.png 近日有用户发现Cubox浏览器插件过度收集用户信息。用户反馈在偏好设置中已经关闭浏览记录同步功能,但是插件仍然不断上传浏览记录。 image.png 用户本是 Cubox 年费会员,本来只是为了方便网页和微信文章收藏。发生这种事情还是有点失望,联系客服目前没有回复。用户还指出cubox chrome 浏览器插件不支持“允许点击时读取数据”或“允许读取特定网站数据”,而必须允许读取所有网站数据才能使用。 本来以为只是简单吃瓜,没想到用户还给出了截图。 image.png 可以看出cubox扩展频繁使用get请求,并且还向服务器cubox.pro请求成功。 根据kimichat可知

从您提供的图片内容来看,这是一个HTTP请求和响应的记录,具体是一个代理工具(可能是Burp Suite)的抓包结果。以下是对该请求包的详细分析:

  1. 请求信息(Request):

    • 方法(Method): GET,这是一个HTTP GET请求,通常用于请求服务器上的数据。
    • URL(URL): /c/api/bookmark/exist?targetURL=https:%2F%2Fwww.baidu.com%2F,这是请求的资源路径和查询字符串。查询字符串targetURL=https:%2F%2Fwww.baidu.com%2F表明请求的目标是检查URL https://www.baidu.com/ 是否存在某个特定的标记(可能是书签或记录)。
    • Host(Host): cubox.pro,这是请求发送到的服务器的域名。
    • 其他头部(Headers): 包括日期、Cookie、内容类型(Content-Type: application/json)等,这些头部信息为服务器提供了请求的附加信息。
  2. 响应信息(Response):

    • 状态码(Status code): 200,这表示请求成功,服务器正常响应。
    • 内容长度(Length): 508,响应体的大小,单位是字节。
    • MIME类型(MIME type): JSON,表明响应体是JSON格式的数据。
    • 响应头部(Headers): 包括服务器信息、访问控制允许的头部、日期等,这些信息告诉客户端如何处理响应数据。
    • 响应体(Body): 显示为JSON对象,其中包含几个字段:
      • "code":200,表示操作成功。
      • "message":(空),没有额外的消息。
      • "data": 包含一个字段 "exist":false,表明目标URL https://www.baidu.com/ 在服务器上不存在或没有找到对应的书签/记录。
  3. 其他信息:

    • 该记录还包含了请求和响应的原始数据(Raw),以及十六进制表示(Hex),这些通常用于更详细的网络调试和分析。

综上所述,这个请求包是一个检查特定URL是否存在于服务器记录中的API调用,根据响应结果,目标URL在服务器上没有找到对应的记录。

image.png 以阿江浅显的知识,认为get只是常规的请求,应该不存在上传用户信息,因为上传一般都是直接post,但具体这个插件频繁的请求的目的是什么我也不得而知,基于定价我就不会选择Cubox,比较关注隐私的小伙伴可以自行抓包研究。