潜伏在 Chrome 应用商店的恶意扩展

31 天前
 Byleth

最近发现,使用 Google, Bing 搜索网页时,全都会被劫持到一个叫做 maxask.com 的恶意搜索引擎上。

一番排查,发现是我之前为了单独调高某个标签也的音量,而使用的一个叫做「音量助推器」的扩展,突然开始劫持主流搜索引擎的搜索动作,全部重定向到这个垃圾网站上,这个网站会伪装为谷歌搜索,但是会在返回的搜索内容插入垃圾内容。

解决后,在 reddit 上看了下,发现了一种惯用的恶意软件分发手法:

  1. 开发一个"小工具"类型的 Chrome 扩展
    • 比如「一键下载页面所有图片」「解锁页面禁止复制限制」「网页全屏截图」等等
  2. 积累足够的用户
    • 这期间,该扩展完全隐藏其恶意代码,表现得自己就是一个非常好用的小工具,极端情况下还能拿到商店推荐位
  3. 先在商店删除扩展
    • 这一步是最绝的,Chrome 当前的机制好像是,某个应用只有在上架状态下被发现有恶意代码(比如收到大量举报),才会自动帮用户卸载
    • 结果呢,这个应用会首先先把自己从 Chrome 扩展商店移除,从而规避了这一自动保护机制!
  4. 再下发启用恶意代码的配置
    • 移除后,这类恶意扩展就会肆意启动劫持行为,而不必担心被 Chrome 安全机制自动移除

经验教训是,一定谨慎安装任何 小工具/Utility 类别的 Chrome 扩展,比如上面提到的「解锁页面禁止复制限制」「网页全屏截图」等等,哪怕扩展显示有大量用户,也不完全可信,它很可能还在潜伏期。目前来看,只有下面有蓝色对勾认证的大企业扩展是几乎绝对安全的。

如果一定有需求,感觉可以优先使用禁止混淆、强制开放源码的 GreasyFork 脚本,这样至少还能审查下

PS: 假搜索引擎的搜索结果,会优先返回印度地区的页面,这证明这类扩展,大概率全是阿三开发的。。。

2424 次点击
所在节点    程序员
10 条回复
WillBeethoven
31 天前
我自己写了插件上架,有一定用户数量后会收到某些自称推广搜索引擎的邮件说让我改用户搜索引擎,给我分成。简单问了下,我觉得污染了我的插件,本来也没想靠这个挣钱,就没后续了。

wdy3334
31 天前
「解锁页面禁止复制限制」我还真用了,用的 GreasyFork 脚本
hereted
31 天前
太离谱了
Byleth
31 天前
@WillBeethoven 原来如此,看来他们也不一定会自己从头开发
kingmo888
31 天前
油猴上我遇到过解除复制的脚本,突然自动更新变成了购物助手,懒得换,直接拒绝更新了。
不知道这样操作对不对
little_cup
31 天前
我开发的 Chrome 扩展和 Android 工具类 app 总计以平均每年 20 个左右的速度,收到各种不同公司名义的收购邮件。
可能是工具类 app 权限比较高吧,虽然非常好奇自己的东西在灰产里到底值多少钱,但为了清白一次也没回复咨询过。
BigBai
31 天前
@little_cup 是冰箱的作者吧,可千万别搞呀
顺问一下,冰箱能不能支持定时冻结功能
james122333
31 天前
扩充本来就是烂东西 自定义 usercss userjs 才是王道 广告拦截也不该考虑用扩充
dt201909
30 天前
估计也有点像 CDN 投毒的那个方式,看到某些扩展有用户量之后,那些人就买下来投毒。
threeti
29 天前
老哥,前两天刚看完你的帖子,我今天的 v2 账号就被盗了 金币也没刷光了, 发的帖子还没有权重
参见 https://www.v2ex.com/t/1083641

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1082819

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX