[安全漏洞] 慎用部分划词翻译软件

2018-04-10 11:11:35 +08:00
 nosugar

目前发现:
https://github.com/waynecz/dadda-translate-crx
扩展在选中文字后,立即提交选中文字到搜狗服务器获取翻译结果,此时还没有点击翻译按钮。
这会导致在你不想翻译的时候由于误选中敏感文字(邮箱、密码、银行账号)到搜狗服务器。
目前此 bug 已提交给作者。

目前已经分析源码:
https://github.com/Selection-Translator/crx-selection-translate
不会出现上述情况,此扩展之前版本加入了 Google Analytics

油猴子脚本:
https://greasyfork.org/zh-CN/scripts/34921-translate

6961 次点击
所在节点    程序员
16 条回复
iSteven
2018-04-10 11:21:38 +08:00
DevNet
2018-04-10 11:26:16 +08:00
用的 google 翻译插件。。。
rosu
2018-04-10 11:31:27 +08:00
浏览器选中了密码区域的话,应该无法获得密码明文的吧?不太确定。
yazoox
2018-04-10 11:43:57 +08:00
@rosu 附议
@nosugar 楼主,你有抓包还是如何操作,得出,密码明文被发送到了翻译服务器了么?

不是很懂,等有大神来解答一下。
Hardrain
2018-04-10 12:16:50 +08:00
@rosu 我觉得扩展程序应该可以获取到,事实上 F12 调试工具都能获取到已输入的密码
@yazoox 查看了其源码,Google 翻译和搜狗翻译是 HTTPS
但另一个词根翻译是 HTTP

即便传输过程是安全的,这些内容也不应该被上传至服务器。
nosugar
2018-04-10 12:17:19 +08:00
@yazoox #4 chrome 扩展 debug,看发送包请求
nosugar
2018-04-10 12:18:33 +08:00
@Hardrain #5 看看这个教程,或者自己搜索下: https://www.cnblogs.com/sinojelly/archive/2011/01/11/1933213.html
可以用此方法检查下自己安装的扩展程序


@yazoox #4
ys0290
2018-04-10 12:24:14 +08:00
这难道不是特色吗?点击翻译然后再去传数据,如何做到妙答?
coolzjy
2018-04-10 13:08:51 +08:00
明明是 feature 却被说成漏洞。上面所谓的「敏感信息」与用户身份无法建立任何联系,有什么价值呢?密码一般更不会明文显示。词典服务器每天都会收到成千上万奇怪的请求,包括复制失败把上一次剪贴板内容粘贴上去的肯定也不在少数,不知道你是不是每次在表单中粘贴内容的时候是不是都会再三确认剪贴板内容。

当然,从产品设计角度来说提供一个功能开关来让这一些用户没得喷是个更好的处理方式。
nosugar
2018-04-10 13:51:39 +08:00
@ys0290 #8
@coolzjy #9
多谢指正,issue 已关闭
williamx
2018-04-10 14:59:56 +08:00
特别烦划词翻译,都是通过快捷键调出窗口,然后输入单词进行查询。这样单词还能输入一遍,有助于熟悉。
imn1
2018-04-10 15:16:25 +08:00
@coolzjy
与用户身份无法建立任何联系

这句话有待商榷,以搜狗的信息量,不能建立的话可以说水平太次了
如果说「有多少能建立」或者「会否主动建立」还说得过去
greatghoul
2018-04-10 17:29:27 +08:00
我写得扩展也会选中后自动翻译,不过我也觉得这是 feature 不是 bug,对信息如此敏感,就选择操作麻烦一些的扩展就好了,没必要说的好严重的样子。便利与安全本来就不太可能兼顾的很好。

如果我选中 438euveu16eyvdhuwvg 搜狗如果各种分析

~ 发送请求的是哪个人
~ 发送的是 WiFi 密码还是 pornhub 密码
~ 发送的是当前这个人的密码还是他复制别人的密码
~ 这人的密码会不会因为操作失误没有复制全
~ 难道不是密码,而是银行卡号码

最后分析出
我擦,竟然是苍老师的百度盘资源 base64 码,小张呀,替我看会门口,顺便把纸巾给我丢过来

搜狗的服务器看来都不要钱。

哈哈,以上玩笑了,还是感谢楼主对安全的敏感和重视

我的扩展的做法是,只有选中的内容是应用单词(只能识别英文)时,才自动出发翻译,否则,需要用户手动选择翻译。这应该是一种折中的做法,希望划词翻译类应用的作者可以参考一下这个思路。
omph
2018-04-10 19:24:37 +08:00
自己搭建一个 dict 服务器,就解决了
autoxbc
2018-04-10 20:04:58 +08:00
这算比较好的了,怕的是好多扩展后台挖矿,前台弹返利

有顾虑的话可以自己动手写,一个简单的词典用不了 30 行
ivechan
2018-04-10 21:24:16 +08:00
用本地词典就好了.

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/445584

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX