LinkedIn analizza le estensioni di Chrome: cosa sta succedendo al tuo browser?

  • Una ricerca europea rivela che LinkedIn inietta codice JavaScript per analizzare oltre 6.000 estensioni di Chrome e raccogliere dati sui dispositivi.
  • I dati sono collegati a profili reali e includono informazioni potenzialmente sensibili, il che solleva serie preoccupazioni ai sensi del GDPR e del DMA nell'UE.
  • LinkedIn ammette di effettuare scansioni, ma le giustifica come misura di sicurezza contro lo scraping e gli abusi, e nega usi commerciali o deduzioni sensibili.
  • Esperti e associazioni chiedono maggiore trasparenza e raccomandano misure pratiche per ridurre l'esposizione, come l'utilizzo di Firefox o di programmi per bloccare gli script.
Alberto Navarro

13 minuti

LinkedIn analizza le estensioni di Chrome

LinkedIn, il principale social network professionale in Europa, è stato coinvolto in un importante È scoppiata una controversia sulla privacy dopo che è emerso che il sito analizza le estensioni per Chrome e altri browser basati su Chromium.Un'inchiesta denominata BrowserGate sostiene che la piattaforma abbia analizzato silenziosamente i browser dei suoi utenti e raccolto dati tecnici dettagliati dai loro dispositivi per anni.

Cos'è BrowserGate e chi c'è dietro l'indagine?

Il termine BrowserGate Ciò deriva da un'indagine condotta da Fairlinked eV, un'associazione europea di utenti aziendali di LinkedIn con sede in Germania. Questo gruppo afferma di aver scoperto che il social network di Microsoft inietta un Pacchetto JavaScript di circa 2,7 MB ad ogni caricamento della paginaspecificamente progettato per analizzare l'ambiente del browser dell'utente.

Secondo Fairlinked, quel codice viene eseguito in background ogni volta che LinkedIn viene aperto nei browser basati su Chromium, come Google Chrome, Microsoft Edge o Brave (quando determinati endpoint non sono bloccati). Lo script cercherebbe estensioni specifiche, raccoglierebbe segnali tecnici dal dispositivo e invierebbe i risultati crittografati ai server di LinkedIn, presumibilmente collegati all'account personale di ciascun membro.

L'associazione descrive la pratica come una “Un’operazione di spionaggio massiccia, globale e illegale”soprattutto nel contesto europeo. Si sostiene che tale comportamento si verifichi senza fornire informazioni chiare all'utente, senza consenso esplicito e senza essere riportato nell'informativa sulla privacy o nella documentazione pubblica dell'azienda, il che sarebbe in contrasto con diversi principi del GDPR.

Inoltre, Fairlinked sottolinea che l'impatto sul tessuto imprenditoriale europeo è significativo: In genere, gli utenti di LinkedIn utilizzano il proprio nome reale, l'azienda per cui lavorano e la loro qualifica professionale.in modo che qualsiasi dato aggiuntivo raccolto tramite il browser acquisisca rapidamente un carattere aziendale e potenzialmente sensibile.

Come funziona la scansione delle estensioni di Chrome

Secondo il rapporto BrowserGate, il meccanismo di LinkedIn si basa su un pacchetto JavaScript che combina tre livelli di rilevamento per identificare le estensioni installate sui browser basati su Chromium:

  • Rilevamento tramite accesso alle risorseLo script tenta di accedere a percorsi del tipo chrome-extension:// associato a specifici ID di estensione. Se la risorsa risponde, si presume che l'estensione sia installata.
  • Rilevamento DOM: ispezione degli elementi che determinate estensioni inseriscono nelle pagine (ad esempio, barre, pulsanti aggiuntivi o script personalizzati).
  • “Spettroscopia”: una scansione più approfondita dell'albero DOM per individuare eventuali modifiche alle funzionalità introdotte dai plugin del browser.

Questo approccio graduale consente, secondo la ricerca, Scansiona in blocco oltre 6.000 estensioni diverse in pochi secondi. Il pacchetto non solo controlla uno o due strumenti sospetti, ma esegue anche una scansione elenco delle estensioni che è cresciuta in modo molto evidente negli ultimi anni.

I dati raccolti non si limitano all'elenco delle estensioni. Lo script ottiene anche 48 caratteristiche del dispositivo, tra questi:

  • Numero di core della CPU e tipo di processore.
  • Quantità di memoria disponibile.
  • Risoluzione dello schermo e configurazione multi-schermo.
  • Fuso orario, lingua di sistema e impostazioni regionali.
  • Stato della batteria e alcune funzionalità audio e di archiviazione.

Con queste informazioni, il sistema può costruire quello che è noto come un impronta digitale del browserSebbene questi dati non identifichino singolarmente una persona, la loro combinazione crea un profilo tecnico unico, che diventa pienamente identificabile se associato a un account LinkedIn con nome e cognome.

Quante estensioni vengono scansionate e come si è evoluto l'elenco?

Uno dei punti che ha maggiormente attirato l'attenzione degli esperti è il scala di scansioneSecondo i documenti di Fairlinked, LinkedIn utilizzava questa tecnica già da tempo, ma il numero di estensioni sotto sorveglianza sarebbe cresciuto in modo esponenziale:

  • Nel 2017, l'elenco iniziale conteneva a malapena Estensioni 38.
  • Nel 2024, l'inventario è stato ampliato a Estensioni 461.
  • Nel febbraio 2026, il rapporto colloca la cifra a Estensioni 6.167, il che rappresenta un incremento di oltre il 1.250% in soli due anni.

Test indipendenti condotti dal media specializzato BleepingComputer nell'aprile 2026 confermano che, al momento dei loro test, lo script di LinkedIn Sono state controllate 6.236 estensioni diverso. Gli stessi test hanno osservato che il codice JavaScript veniva caricato con un nome apparentemente casuale ed eseguito in background ad ogni visita.

L'aumento del numero di proroghe coincide, in parte, con l'entrata in vigore della Legge sui mercati digitali dell'Unione europea (DMA)Fairlinked sostiene che, anziché limitarsi ad aprire ulteriormente il proprio ecosistema a strumenti di terze parti, LinkedIn abbia reagito ampliando massicciamente la sorveglianza su questi ultimi, soprattutto su quelli che operano nello stesso settore.

Quali tipi di estensioni monitora LinkedIn e perché questo rappresenta un problema importante?

L'elenco delle estensioni scansionate non si limita ai plugin sospettati di scraping o di automazione aggressiva. Secondo BrowserGate, Comprende categorie molto diverse tra loro che possono rivelare informazioni particolarmente sensibili. Informazioni sugli utenti:

  • Estensioni religiose, come ad esempio strumenti per gli orari di preghiera islamica o per le letture quotidiane della Torah.
  • Utilizzi per la salute e la neurodiversitàAd esempio, supporto per ADHD, dislessia o altre patologie.
  • 509 estensioni per la ricerca di lavoro, con un totale combinato di circa 1,4 milioni di utenti.
  • Oltre 200 strumenti di vendita e di ricerca clienti che competono direttamente con le soluzioni aziendali di LinkedIn.
  • Blocchi pubblicitari, VPN, estensioni di sicurezza e vari strumenti di produttività.

La combinazione di queste categorie apre la strada a inferenze di grande impatto. Il semplice fatto che LinkedIn rilevi la presenza di determinate estensioni... Potrebbe indicare convinzioni religiose, orientamenti politici, problemi di salute, disabilità o la ricerca attiva di un impiego.Inoltre, identificando gli strumenti di vendita della concorrenza, la piattaforma potrebbe trarre conclusioni su quali aziende utilizzano prodotti concorrenti.

Fairlinked arriva persino a suggerire che, poiché LinkedIn conosce già l'azienda, la qualifica professionale e il settore di ciascun utente, la piattaforma potrebbe utilizzare questa scansione nascosta per mappatura dei portafogli clienti di migliaia di fornitori di software all'insaputa sia delle aziende stesse che dei loro utenti. Sebbene questa specifica accusa non sia stata verificata in modo indipendente, illustra il potenziale strategico del confronto incrociato di informazioni provenienti da estensioni e profili professionali.

Conferme indipendenti e quanto è stato verificato

Sebbene non tutte le affermazioni di BrowserGate siano state provate punto per punto, Diverse testate giornalistiche specializzate in tecnologia hanno replicato alcuni dei risultati.BleepingComputer, ad esempio, ha documentato che:

  • Il sito web di LinkedIn caricava un file JavaScript con un nome casuale che veniva eseguito a ogni visita.
  • Quello script stava tentando di accedere a risorse associate a specifici ID di estensione, seguendo il tipico schema di rilevamento dei browser Chromium.
  • Nei test, il sistema ha verificato oltre 6.200 estensioni.
  • Il codice ha raccolto numerosi dati tecnici dal dispositivo, in linea con le pratiche avanzate di fingerprinting.

Altre analisi pubblicate su media come Tom's Hardware, gHacks o Cybernews Sono tutti d'accordo nel descrivere un modello di fingerprinting esteso, che combina il rilevamento delle estensioni con i parametri hardware e la configurazione del browser. Sottolineano tutti che il processo viene eseguito senza una chiara notifica all'utente medio e senza un controllo granulare sul tipo di informazioni raccolte.

Tuttavia, questi organi di stampa precisano anche di non essere stati in grado di verificare tale informazione. l'utilizzo finale dei dati né se vengano condivisi con terze parti. In altre parole, è stata verificata l'esistenza della scansione e della raccolta di segnali tecnici, ma non tutti gli scenari ipotetici sollevati dall'associazione europea.

La risposta ufficiale di LinkedIn e la battaglia legale in Europa

LinkedIn non ha negato di rilevare estensioni specifiche o di raccogliere segnali del dispositivo. Nelle sue dichiarazioni pubbliche, l'azienda sostiene che L'intero meccanismo ha uno scopo di sicurezza.Identificare le estensioni che estraggono dati in blocco (scraping), violano i loro Termini di servizio o compromettono la stabilità della piattaforma.

L'azienda sostiene che alcune estensioni espongono risorse statiche, come immagini o file JavaScript, accessibili dalle sue pagine, e che la semplice esistenza di questi URL può essere verificata anche dalla console per sviluppatori di Chrome. Pertanto, LinkedIn inquadra la pratica all'interno di un legittimo sforzo per rilevare abusi e automazione non autorizzata.

Per quanto riguarda le accuse più gravi, l'azienda è stata inequivocabile: descrive diversi punti del rapporto BrowserGate come “semplicemente sbagliato” LinkedIn sostiene di non utilizzare i dati per dedurre credenze religiose, opinioni politiche o condizioni di salute. L'azienda insiste sul fatto che la scansione si limita a proteggere la privacy degli utenti e l'integrità del servizio da comportamenti abusivi.

Inoltre, l'azienda collega l'origine del reclamo a un precedente conflitto con lo sviluppatore di un'estensione di LinkedIn nota come Teamfluence. Secondo la piattaforma, questa estensione è stata bloccata per violazione dei termini di servizio e lo sviluppatore ha avviato diverse azioni legali, tutte senza successo. Un tribunale tedesco ha respinto la richiesta di ingiunzione preliminare.giungendo alla conclusione che LinkedIn potrebbe bloccare gli account per proteggere il proprio servizio e che la raccolta automatizzata di dati tramite scraping viola i termini di servizio del social network.

Nonostante questa difesa, Fairlinked ha annunciato di aver lanciato ulteriori azioni legali ai sensi del Digital Markets Act (DMA) e il quadro normativo europeo GDPR, sostenendo che la scansione massiccia e silenziosa delle estensioni va oltre quanto ragionevole, anche con motivazioni di sicurezza.

Implicazioni ai sensi del GDPR e del regolamento europeo

Dal punto di vista giuridico europeo, il caso BrowserGate tocca diverse questioni delicate. Innanzitutto, il GDPR classifica come “dati di categoria speciale” Quelle che consentono di trarre inferenze su credenze religiose, opinioni politiche o informazioni sanitarie. Se il rilevamento di estensioni di supporto religioso, politico o neurodiversità è collegato a profili nominativi, l'elaborazione di tali dati richiederebbe, in linea di principio, un consenso esplicito e specifico.

Il rapporto Fairlinked sottolinea che né l'informativa sulla privacy di LinkedIn né la sua documentazione pubblica Non menzionano esplicitamente questa scansione dell'estensione né il relativo fingerprinting. Né presentano all'utente un meccanismo di consenso dettagliato per autorizzare questo tipo di analisi del browser, che potrebbe essere in contrasto con i principi di trasparenza, minimizzazione e limitazione delle finalità del GDPR.

D'altra parte, la stessa DMA dell'Unione Europea, che identifica LinkedIn come “guardiano”La norma richiede che le grandi piattaforme non abusino della propria posizione dominante né ostacolino ingiustamente i servizi di terzi. L'associazione ricorrente interpreta la scansione delle estensioni dei concorrenti come un potenziale strumento di monitoraggio o di pressione sugli strumenti rivali, il che aggraverebbe l'interpretazione normativa.

Finora le autorità europee non hanno reso pubbliche sanzioni specifiche relative a questo caso, ma A Bruxelles il dibattito sulla sorveglianza aziendale e sulle impronte digitali è più vivo che mai.Il caso LinkedIn si aggiunge a una lista sempre più lunga di pratiche discutibili che mettono alla prova l'effettiva capacità dell'UE di far rispettare le proprie norme sulla protezione dei dati.

Chi è interessato e quale rischio reale comporta per gli utenti?

La ricerca e le successive analisi concordano sul fatto che l'impatto è concentrato in utenti che accedono a LinkedIn da browser basati su Chromium senza protezioni aggiuntive. Cioè:

  • Utenti di Google Chrome.
  • Utenti di Microsoft Edge.
  • Utenti di Brave che non modificano le impostazioni predefinite, sebbene questo browser blocchi alcuni endpoint di tracciamento.

Al contrario, coloro che usano Firefox o Safari Si osserva una significativa riduzione dell'esposizione poiché il metodo di rilevamento delle estensioni è strettamente legato all'architettura delle estensioni di Chromium. Ciononostante, l'identificazione univoca del dispositivo tramite dati come CPU, memoria o risoluzione può essere eseguita, in misura maggiore o minore, in diversi browser.

Il rischio principale non è tanto che LinkedIn legga il contenuto delle estensioni, ma che Scopri quali hai installato e collegale al tuo profilo professionaleCiò consente di generare un quadro molto dettagliato dei tuoi strumenti di lavoro, della tua situazione occupazionale (ad esempio, se utilizzi estensioni per la ricerca di lavoro) o dei tuoi interessi personali, in un contesto in cui i tuoi dati sono già fortemente associati alla tua identità reale.

Per la maggior parte degli utenti, il pericolo immediato non deriva da un classico "hack", ma da un aumento silenzioso delle capacità di sorveglianza e tracciamento, difficili da percepire e controllare, il che può avere conseguenze in termini di privacy, concorrenza e, eventualmente, reputazione professionale.

Consigli pratici per ridurre l'esposizione

Dato questo scenario, le raccomandazioni degli esperti di sicurezza e privacy si concentrano su limitare l'ambito della scansione delle impronte digitali e dell'estensione quando si utilizza LinkedIn, soprattutto in contesti aziendali europei:

  • Utilizzare browser alternativiAccedere a LinkedIn tramite Firefox o Safari riduce significativamente l'efficacia delle tecniche di rilevamento delle estensioni basate su Chromium.
  • Installa blocchi per script e trackerEstensioni come uBlock Origin o strumenti avanzati per la privacy aiutano a bloccare gli endpoint di tracciamento e i pacchetti JavaScript invasivi.
  • Configura Brave per essere più aggressivoBrave blocca già di default alcune forme di tracciamento, ma si consiglia di controllare le opzioni di "protezione avanzata" quando si visita LinkedIn.
  • ambulatori separatiAlcune aziende scelgono di navigare sui social network professionali tramite un browser isolato, con poche estensioni e una configurazione più restrittiva.

Per i fondatori, i responsabili IT e i team di sicurezza in Europa, il caso serve anche a ricordare che Le dipendenze da terze parti e l'utilizzo di grandi piattaforme dovrebbero essere sottoposti a verifiche periodiche.Non si tratta solo di ciò che accade all'interno dell'applicazione stessa, ma anche di come gli strumenti utilizzati quotidianamente (come LinkedIn) interagiscono con l'ambiente di navigazione di dipendenti e manager.

In sintesi, BrowserGate ha messo in luce fino a che punto può spingersi una rete professionale. monitorare l'ecosistema digitale dei suoi utenti In nome della sicurezza, LinkedIn sostiene che la scansione delle estensioni e la raccolta dei segnali dei dispositivi siano necessarie per contrastare lo scraping e gli abusi automatizzati, mentre le associazioni europee e i media specializzati avvertono che si sta oltrepassando un limite delicato in termini di privacy e trasparenza. Il risultato è un nuovo capitolo nella tensione tra sicurezza, business e diritti digitali all'interno del mercato unico europeo, un tema che probabilmente continuerà a generare dibattito nei prossimi mesi, sia negli uffici di Bruxelles che sui browser web di milioni di professionisti.

Articolo correlato:
Le migliori estensioni di Chrome da non perdere