เราตรวจสอบ network request ของส่วนขยายภาพหน้าจอ 12 ตัว
คำตอบสั้น ๆ
จากส่วนขยายภาพหน้าจอ 12 ตัว ห้าตัวอัปโหลดภาพที่จับไปยังเซิร์ฟเวอร์ตามค่าเริ่มต้น สามตัวทำเฉพาะฟีเจอร์ "คลาวด์" และสี่ตัวประมวลผลทุกอย่างในเครื่อง สิทธิ์ที่ขอไม่ค่อยตรงกับพฤติกรรม ถ้าเครื่องมือภาพหน้าจอขอสิทธิ์เข้าถึงโฮสต์แบบกว้างและส่งข้อมูลกลับ ให้ถือว่าภาพที่จับของคุณถูกแชร์แล้ว
ทำไมเครื่องมือภาพหน้าจอสมควรถูกตรวจสอบ
ภาพที่จับอาจมีอะไรก็ได้บนหน้าจอ token, ข้อความส่วนตัว, งานที่ยังไม่เผยแพร่ ส่วนขยายที่อัปโหลดตามค่าเริ่มต้นคือช่องทางรั่วไหลข้อมูลที่ผู้ใช้ส่วนใหญ่ไม่เคยสังเกต
เราวัดอะไร
สำหรับแต่ละส่วนขยาย เราจับภาพหน้าจอเต็มหน้าหนึ่งภาพบนหน้าทดสอบและบันทึก request ขาออก เราเปรียบเทียบพฤติกรรมที่สังเกตได้กับสิทธิ์ที่ประกาศไว้
| พฤติกรรม | จำนวน |
|---|---|
| อัปโหลดภาพที่จับตามค่าเริ่มต้น | 5 / 12 |
| อัปโหลดเฉพาะฟีเจอร์คลาวด์ | 3 / 12 |
| ทำงานในเครื่องทั้งหมด | 4 / 12 |
บทสรุป
สิทธิ์คือเพดาน ไม่ใช่คำอธิบาย เลือกเครื่องมือที่ระบุการประมวลผลในเครื่องเท่านั้นและสนับสนุนด้วยการตรวจสอบที่คุณทำซ้ำได้
ระเบียบวิธี. วิธีการ: แต่ละส่วนขยายบนโปรไฟล์ใหม่ จับหนึ่งภาพบนหน้าที่ควบคุม บันทึก request ผ่าน mitmproxy ปิดชื่อไว้ระหว่างรอการเปิดเผย ชุดข้อมูลเต็มมีให้เมื่อร้องขอ เก็บข้อมูล 2026-06-05