一款 70 万用户的浏览器插件正在偷偷监视你

115 天前
 a90120411

今天调试插件时,无意中看到有外出请求发送到 api.simpleallowcopy.com 域名,调查了一下发现是一款 Chrome 插件 —— Simple Allow Copy 在上传浏览数据,会在后台实时将所有打开的 URL 地址上传。

网上搜索了一下,发现此前已有朋友发现并分析了此插件: https://blog.csdn.net/2401_83799022/article/details/140371549

个人建议:降级到 0.8.7 版本(我检查了代码,没有此问题),或在防火墙做屏蔽规则。


多数几句题外话

本人也是插件开发者,感觉目前 Chrome 插件的安全隐患还是很大的。插件可以获取的权限非常大,且在安装插件之前并没有明确的提示——插件中使用了哪些权限、要与哪些服务地址通信。

这些权限信息只能是查看插件内部的 manifest 文件或阅读代码来获取。这就造成了一些插件过渡使用了许多高权限的 API ,但用户并不知情。

此外在 Chrome 浏览器上,插件是没办法关闭自动更新的,当插件的权限变更或隐私政策修改了,用户是不会主动收到通知提醒的,还不如油猴。

关于隐私政策(此插件在隐私政策中声明了会收集 URL ),绝大多数人是不会在下载插件之前去阅读的,这不符合用户习惯。只能是有人发现问题之后,才有人关注。

建议大家平时将不常用插件关闭,等用时再手动开启。常用的插件也要限制在特定网站上自动开启,或者点击时启用。

6091 次点击
所在节点    Chrome
19 条回复
haruhi
115 天前
比较有意思的是,这个插件在 Chrome extension 页面上标注的是“The developer has disclosed that it will not collect or use your data. To learn more, see the developer’s privacy policy”。

然后点开对应的 Privacy Policy ,发现收集信息: https://docs.google.com/document/d/1BbtX5YFxnkAoGbL-tJM0zRaLFf4IiH-_ChLvInEoy0k
Xu3Xan89YsA7oP64
115 天前
只用开源或者有盈利方式的插件,其他的实在找不到我宁愿自己写
之前给别人抄过一个插件。都不用打开目标网站,授权 declarativeNetRequest 改 Origin 和 Referer ,然后就能 CSRF 了,细思极恐
0o0O0o0O0o
115 天前
我的建议是分浏览器:A 浏览器用于登录重要账户,就像 #2 那样只装声誉极好的插件和自己写的,B 浏览器不登录,爱装什么装什么。因为浏览器真的有很强的策略让恶意插件很难影响到系统本身,但浏览器却并没有什么好策略帮用户约束海量的插件在浏览器内的行为,中招只是早晚的事。
gbadge
115 天前
上传 URL 没什么吧? Chrome 不也默认上传这些信息吗
Akagi201
115 天前
我现在同时用多个浏览器
* chrome 只安装钱包插件. 安全性要求比较高.
* arc 默认浏览器, 用来浏览网页, 很多阅读相关插件, 安全性要求比较低.
* brave 用来看视频, 自带去广告.
不过中招在所难免, 插件实在太多了, 我觉得还是要能做到即使别人拿到我的一些密码能敏感数据也无法对我做什么破坏. 密码管理器一定要用好, 我是不相信任何云服务的密码管理器, 只自己同步.
FrankAdler
115 天前
强烈推荐一个扩展 Extensity https://chromewebstore.google.com/detail/jjmflmamggggndanpgfnpelongoepncg
只有一个作用,快速开启禁用其他的扩展,有些扩展好用但是你不放心,或者临时用用它来控制太适合了。
icaolei
115 天前
sweetcola
115 天前
接触浏览器插件开发后我就卸载了所有不开源的插件,因为能做的实在是太多了,像这种情况 Edge 那边更是个重灾区,包括 Firefox 里也有很多,只能自己小心
ignor
115 天前
一直不理解为什么 chrome 插件不支持手动更新。鬼知道哪天插件就被作者卖了,然后突然更新作恶?
microka
115 天前
@ignor #9 我的 chrome 很神奇,有的扩展会自动更新,有的要扩展中心手动更新,有老哥懂为啥吗?
danikeng7890
115 天前
感谢,已经卸载
Liftman
115 天前
已卸载。各位有没有其他推荐?
a90120411
115 天前
@microka #10 几种可能性供参考:
1. 不是在 Chrome Web Store 下载的插件;
2. 新版本和旧版本的 extension ID 不同了;
3. 用户量大的插件可以进行 A/B 发布;
jqtmviyu
115 天前
商店插件自动更新风险太高了. 我用过的插件后期被加料的有:

Extension Manager(非开源版): https://www.v2ex.com/t/684433

The Great Suspender: https://v2ex.com/t/751442

Stylish: https://www.v2ex.com/t/469033

smartup/crxMouse: https://www.v2ex.com/t/1046369

这上面哪一个不是大名顶顶. 我实在怀疑商店的审查到底有多大效果.

还是暴力猴的脚本更安全, 不允许混淆, 能清楚看到作用域名. 能关闭升级.
0o0O0o0O0o
115 天前
@jqtmviyu #14 有个好玩的事情是暴力猴自身上架会混淆(其实是前端项目的正常打包压缩)也被社区吐槽过,不过一来它信誉极好社区人也多,二来其实可以编译验证商店版本有没有加料,这样在意安全的人们只需要审一下两个版本间的 commits 就可以,工作量很小,所以问题不会太大
microka
115 天前
@a90120411 #13 感谢大佬释疑,之前观察过 1password 某个版本在 Chrome Web Store 发布后,本地扩展并没及时更新(貌似刚发布不到一天或一两天这样),然后我手动更新成功更新了。请问是否 Chrome 在每次运行时会对扩展检查更新?如果浏览器一直不关闭,还会定时给扩展检查更新吗?更新的频率是怎样的呢?
hefish
114 天前
我都被人监视了,该怎么活啊。。。
我这就去死。。。别拦着我。。。
lulaolu
114 天前
@0o0O0o0O0o 没必要,直接用多个 Chrome 账号就行了,切换非常方便。
a90120411
113 天前
@microka #16 这还真不清楚,据我了解扩展的更新应该是由 Chrome 的 update 服务独立负责的。我找了一个 Chromium 更新协议,里面说是“客户端和服务器可以自由协商客户端进行更新会话的速率。”
具体可以看一下 Chrome 的日志:


Chromium 的更新协议( Chrome 的实现可能有所不同): https://source.chromium.org/chromium/chromium/src/+/main:docs/updater/protocol_4.md

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1069196

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX