LinkedIn inspeciona 2.953 extensões de navegador

 (github.com/mdp)
1 pontos por GN⁺ 2026-02-06 | 1 comentários | Compartilhar no WhatsApp
  • O site do LinkedIn detecta a presença de 2.953 extensões do Chrome sempre que uma página é carregada
  • O repositório documenta todos os IDs e nomes das extensões, além dos links da Chrome Web Store que o LinkedIn verifica
  • De todas as extensões, cerca de 78% foram confirmadas na Chrome Web Store e cerca de 22% via Extpose
  • O script fornecido (fetch_extension_names.js) coleta automaticamente os nomes das extensões e, para extensões removidas, faz uma consulta alternativa no Extpose
  • Esses dados mostram a escala em que sites identificam extensões instaladas no navegador dos usuários

Fingerprinting de extensões do Chrome no LinkedIn

  • O LinkedIn verifica secretamente 2.953 extensões do Chrome a cada carregamento de página
    • Esse processo é realizado como uma forma de fingerprinting para identificar quais extensões estão instaladas no navegador do usuário
  • O repositório inclui a lista completa de extensões verificadas pelo LinkedIn e as ferramentas relacionadas
    • O arquivo chrome_extensions_with_names_all.csv organiza o ID da extensão, o nome e o link da Chrome Web Store ou do Extpose

Estrutura dos dados

  • O arquivo de dados inclui três colunas: Extension ID, Name e URL
    • O Extension ID é um identificador de 32 caracteres, e a URL aponta para a Chrome Web Store ou para o Extpose
  • A lista completa pode ser consultada no arquivo chrome_extensions_with_names_all.csv

Scripts

  • fetch_extension_names.js busca os nomes das extensões na Chrome Web Store e, se a extensão tiver sido removida ou estiver inacessível, faz uma consulta alternativa via Extpose
    • Exemplos de comando: node fetch_extension_names.js, node fetch_extension_names.js --offset 0 --limit 500
  • test_fetch.js processa as 3 primeiras extensões e pode ser testado em modo verbose

Estatísticas

  • A lista de fingerprinting do LinkedIn inclui um total de 2.953 extensões
  • Destas, cerca de 78% foram confirmadas na Chrome Web Store e cerca de 22% via Extpose

Arquivos-fonte

  • chrome_extension_ids.txt : lista bruta de IDs de extensões extraída do fingerprint.js do LinkedIn
  • fingerprint.js : script de detecção de extensões (versão reduzida) incluído na página do LinkedIn
  • fetch_extension_names.js : script auxiliar que coleta automaticamente os nomes das extensões

Resumo

  • O LinkedIn está verificando informações sobre extensões de navegador em grande escala, e
    este repositório divulga de forma transparente a lista completa e o método de coleta

Leituras relacionadas

1 comentários

 
GN⁺ 2026-02-06
Comentários do Hacker News

  • O Firefox parece ser imune a este problema
    O Chrome expõe os recursos web acessíveis das extensões no formato chrome-extension://[PACKAGE ID]/[PATH],
    enquanto o Firefox usa moz-extension://<extension-UUID>/myfile.png.
    Nesse caso, o <extension-UUID> é gerado aleatoriamente para cada navegador, impedindo que sites façam fingerprinting do navegador por meio das extensões instaladas
    Documentação relacionada: documentação do Chrome, documentação do Firefox

    • Dizem que, por usar um navegador com menos de 5% de participação de mercado, você perde as tecnologias web mais recentes, mas é irônico descobrir que isso traz até uma vantagem de segurança
    • Às vezes o cooler do meu computador dispara como se estivesse enlouquecido, e na maioria das vezes o culpado é o Firefox com uma aba do LinkedIn aberta. Fico me perguntando se isso está fazendo mineração de criptomoedas ou se é só ineficiência mesmo
    • Se o ID da extensão muda por navegador, isso não significa que, em vez do navegador, o próprio usuário passa a ser identificado?
      Não seria uma mudança de “este navegador tem as extensões X, Y e Z” para “este é o navegador do Jim Bob”?

  • Olhando a lista de extensões, a maioria está relacionada a scraping de dados do LinkedIn ou automação
    Mesmo quando eu trabalhava no LinkedIn, esse tipo de abuso era pesado, e criamos sistemas internos de detecção e prevenção bastante sofisticados, mas era uma luta sem fim

    • Para o LinkedIn montar uma fonte de dados para fingerprinting de extensões, é bem provável que alguém (talvez o próprio LinkedIn?) tenha feito scraping da Chrome Web Store.
      Isso pode até ser uma violação dos TOS da Chrome Web Store
    • Pela lista, isso não parece tão sofisticado. Parece mais um filtro de extensões com “email” no nome, e a maioria nem sequer tem permissão de acesso ao linkedin.com
    • Do ponto de vista do LinkedIn isso pode ser um problema, mas o verdadeiro problema são empresas como o próprio LinkedIn, que fazem corretagem de dados
    • Pelo código, não parece fazer nada quando encontra correspondência; dá a impressão de que só salva os resultados em CSV para usar como dados de fingerprinting
    • Já fiz scraping do LinkedIn para um cliente no passado, e foi uma experiência bem interessante

  • O Chrome agora parece o novo IE6
    O Google se transformou na próxima Microsoft e está indo cada vez mais numa direção favorável à publicidade.
    A sensação é que contribuiu mais para enfraquecer bloqueadores de anúncios e permitir malware do que para melhorar a segurança

    • Concordo que o Chrome é spyware, mas também é verdade que foi o primeiro a introduzir recursos de segurança como Site Isolation e sandboxing.
      A velocidade de correção e os testes de segurança também não são ruins
    • O Chrome de hoje é algo muito pior que o IE6. A Microsoft pelo menos não rastreava usuários nem vendia anúncios
    • Quem controla a publicidade controla a internet
    • O Google já virou um monopólio, e todo monopólio acaba se tornando algo assim
    • Se em 2026 ainda houver gente usando Chrome, vai ser preciso ser um desenvolvedor realmente corajoso

  • Se você abrir o LinkedIn e apertar F12, a contagem de erros continua aumentando
    O screenshot pode ser visto aqui

    • Se o link do X estiver bloqueado, também dá para ver pelo link do xcancel

  • Recentemente organizei em um blog as técnicas de detecção de extensões do LinkedIn e outros métodos com menos efeitos colaterais
    Post no blog da Castle

    • Se você aplicar um patch no Firefox para que navigator.webdriver seja sempre false, o controle remoto continua possível.
      É difícil detectar isso, mas ainda dá para perceber por padrões de velocidade de entrada
    • Achei interessante porque o conteúdo do texto bate exatamente com este tema

  • Escrevi um artigo sobre isso alguns meses atrás.
    Expliquei por que isso é possível e até como prevenir
    Link do artigo

    • Fiquei curioso se o texto também aborda por que o LinkedIn faz isso, ou se explica apenas a possibilidade técnica

  • O LinkedIn tem usado muitos dark patterns estranhos ultimamente

    • Força a mudança da velocidade de rolagem no Firefox
    • Na web móvel, ao ver um perfil e voltar, sempre redireciona para a página inicial
    • URLs de analytics são geradas com caminhos aleatórios para tentar evitar bloqueio
      Queria saber se alguém entende o motivo desse comportamento
    • Parece que o LinkedIn está em guerra total com a indústria de bancos de dados de contatos, então recorre a esse tipo de tática.
      Está usando diversas estratégias defensivas, desde crawlers da web até trabalho manual com pessoas contratadas

  • Esse método já era conhecido desde 2019
    Post no blog da Nymeria

  • A lista de extensões que o LinkedIn escaneia é clara, mas o mais interessante são justamente as extensões que ele não escaneia
    Por exemplo, “Contact Out” parece escaneável, mas o LinkedIn dá a impressão de simplesmente ignorá-la.
    Dá até para suspeitar de algum acordo por trás
    Link da extensão Contact Out

    • Essa extensão não declara recursos acessíveis por conteúdo no manifest, então não é possível fazer fingerprinting dela
    • Curiosamente, o LinkedIn também não bloqueia coisas como a extensão do Claude ou o Dassi AI. Fico pensando por quê

  • O texto diz: “este repositório documenta todas as extensões que o LinkedIn inspeciona e fornece ferramentas para identificá-las”,
    então fiquei me perguntando como confirmaram que o LinkedIn realmente verifica esses IDs.
    E também queria saber se isso afeta usuários que não usam Chrome

    • Algumas semanas atrás, um fornecedor publicou um texto analisando tecnicamente o método do LinkedIn,
      vangloriando-se de que a abordagem deles é “mais silenciosa, menos perceptível e mais fácil de executar em escala”
      Post no blog da Castle