Chrome擴充程式L.O.C被懷疑存取用戶臉書資料，遭Brave及Meta封鎖

一項熱門Chrome擴充程式可能存取臉書而洩露用戶個人資料，遭到瀏覽器業者Brave封鎖，以及臉書母公司Meta的禁止。

遭到封鎖的是L.O.C，它是一個集結多種自動化工具的App，可協助臉書用戶一次變更大量臉書貼文，掃視個人臉書動態牆上的友人互動、管理交友呼叫、清點並下載用戶和友人的訊息、尋找用戶加入過的群組、按過讚的粉絲專頁、或是移除和友人的連結等。這項擴充程式下載次數約為70萬。

Brave安全開發人員Francois Marier說明，如果使用者已經登入臉書，則安裝這個程式會自動允許第三方伺服器存取用戶臉書內容。它使用的API在發出存取令牌（access token）前，不會觸發臉書顯示同意提示對話框。

Marier引述L.O.C的授權說明，安裝這款程式將使其取得臉書及messenger.com等網站的讀取、寫入許可。之後它會對臉書Creator Studio發送呼叫並且建立新的存取令牌（user access token），這個憑證讓App經由呼叫API讀取或修改臉書個人檔案。原本臉書規定，要這麼做App應取得用戶同意。然另一方面，用戶在其臉書帳號下卻無從發現新增的存取令牌。

此外L.O.C還警告用戶安裝後，他們的臉書帳號可能會因此被暫時被封鎖，因這是臉書管制措施的一部份。

為此Brave將L.O.C加入黑名單，以防止用戶安裝。

圖片來源／Brave

不過L.O.C開發人員Loc Mai對媒體喊冤。Mai指出它產生的令牌是存在裝置本身，並不會分享給其他人。而且除了付費功能用戶外，他的擴充程式並沒有蒐集任何用戶資料，他對付費用戶也只蒐集UID。

Google仍允許這款程式在Chrome擴充程式商店上架，不過The Register報導，L.O.C已被臉書/Meta禁止，且Meta也告知他未經用戶同意傳輸和分享用戶資料，以及買、賣或交易用戶活動如按讚、分享數等數據。

程式作者一概否認，但他表示如果臉書沒那麼「鴨霸」或清楚說明其程式帶來何種危害，他會考慮將這款程式移除。