你喜歡下載 Chrome 的免費擴充功能嗎？俗話說：「免費的最貴」，可能要當心個資是否就這樣悄悄拱手送給他人了。

根據《路透社》報導，網路資安公司 Awake Security 研究人員發現，最近有新的間諜軟體（spyware）會透過目前已被下載的 3200 萬個 Google Chrome 瀏覽器擴充程式來攻擊使用者。

他們還指出，科技相關產業並未重視瀏覽器的資安議題，偏偏使用者又常常透過瀏覽器來收發 E-mail 、下載薪資明細或使用其他個資敏感功能。

所謂的間諜軟體，指的是未經用戶同意下，就自行搜集用戶個人資料的惡意軟體。Awake Security 聯合創辦人暨首席科學家 Gary Golomb 表示，這是迄今為止對 Chrome 影響最廣泛的惡意行為，但目前還不清楚最初的分發源頭是誰，因為這些開發人員當初交提交Google 擴充程式時，所提供的相關聯繫方式都是假的。

Google 表示，在接收到警告後，已經於上個月從官方 Chrome 線上應用程式商店下架 70 多個惡意下載程式。發言人也表示，會將這些近期事件作為訓練素材，強化 Google 的自動化和手動分析；但 Google 拒絕回應其他問題，也不回覆為何未自行檢測並下架這些惡意擴充程式。

根據 Awake Security 所發布報告，這些有問題的網域都是向以色列一家小型註冊公司 Galcomm 所購買。然而，Galcomm 負責人 Moshe Fogel 則在信件回覆中表示，公司並沒有參與這些惡意行為，反而常與執法安全機構合作，也在知情後請 Awake Security 提供可疑網域名稱列表。

當 Awake Security 發表報告並列出所有可疑網域後， Moshe Fogel 表示這些網域名使用情況幾乎都不活躍，也會繼續調查其他網域名。

負責管理網域註冊的網際網路名稱與號碼指配組織（ICANN）也表示，截至目前為止，很少收到與 Galcomm 有關的投訴；就算偶爾有，也都與惡意軟體無關。

近年，欺騙性的擴充程式愈來愈猖狂。最初，它們還只是以「免費」為名，悄悄地取用你的瀏覽歷程數據，並不斷推播無關廣告；後來則開始為虎作悵，替政府或商業單位追蹤用戶所在位置、一舉一動等，嚴重侵犯個人隱私。

而這些惡意軟體的開發者，幾乎都把 Chrome 線上應用程式商店作為長期發佈管道。而從 2018 年起，Google 也承諾將提高人工審核以強化資安保護。

俗話說：「免費的最貴」。在享受免費下載各種擴充程式時，可能要當心你我的個資，是否就這樣悄悄拱手送給有心人士了。