报告一个chrome插件劫持的扩展——劫持淘宝链接!

2013-04-19 11:36:32 +08:00
 byron
之前安装了“土豆视频下载”这个插件,方便同事下土豆上的视频。
结果最近无意中发现它会向一些网页注入js,就是下面两个:
http://www.life.pm/js/tudoudownload/extension.js
http://www.life.pm/js/extension.min.js
对阿里巴巴的某些页面进行劫持。

去Chrome这个插件的评论里看,还有这么一条:

盗用别人代码,植入广告,劫持网银!见过无耻的,没见过这么无耻的!!

还会劫持网银!
太恐怖了。


我不是技术,所以没有详细的分析他的实现原理,有朋友感兴趣,可以分析下,公布出来。
避免其他人上当。

Ps:如果这个插件的开发中在这里,我只想说:“君子爱财取之以道”
7800 次点击
所在节点    程序员
20 条回复
swulling
2013-04-19 11:39:43 +08:00
嘛,淘宝客。这个见多了。。
swulling
2013-04-19 11:40:06 +08:00
只能说安装扩展时要看下权限
andybest
2013-04-19 11:49:38 +08:00
chrome插件权限似乎就一种,而且自己也没法调整啊
@swulling
olnyshe
2013-04-19 11:51:12 +08:00
这年头..谷歌吧没恶意代码.原创的下架..一些有恶意的山寨的还留着

http://bbs.kafan.cn/thread-1352326-1-1.html
tension
2013-04-19 11:57:33 +08:00
Chrome / Android

不都是这样吗?????????
shidenggui
2013-04-19 12:02:49 +08:00
谷歌在扩展上真的是不作为啊,任由恶意扩展横行
linuxer
2013-04-19 12:55:37 +08:00
AMO上审核还是挺严格的。相反,Chrome上,真是哈哈哈。
1423
2013-04-19 13:46:30 +08:00
swulling
2013-04-19 14:43:42 +08:00
@andybest 安装扩展时Chrome的警告看不到么

每个扩展都能选择作用域,像这个插件按理说只应该选择tudou.com相关域。但它肯定是选了全部网页。Chrome对这种情况是中度警告。
xupefei
2013-04-19 17:20:26 +08:00
lightening
2013-04-19 18:04:17 +08:00
下载优酷土豆视频,只要把视频的url中的tudou.com改成xiatudou.com就行了。优酷也一样,xiayouku.com.
Sivan
2013-04-19 18:22:47 +08:00
Chrome 上这种插件多了去了……
muzuiget
2013-04-19 20:24:17 +08:00
不审核就是这样的,相反 AMO 有审核生态环境就好点,我也上传过几个扩展,一个月了还是初审资格。

AMO 审核真的好严格,上传文件后会先自动验证和检查,风险代码会被高亮警告,例如使用 document.createElement('script')。

然后排队等人工审核,分「初步审核」和「全面审核」,还是代码级的,有意见的话会打回来让你改,新扩展基本只给初审资格。得到初审后,要 10 天后才能重新请求完全审核。每个版本都会审,都要排队,所以好慢(这也可能会扩展的受欢迎程度和作者水平相关,比如 flashgot/noscript 隔几天就有机会更新一次)。

而且代码要求也很多,不允许从服务器动态载入脚本,不允许混淆(除非是类似 jquery 这样的库),也不许故意写的难理解,有 exe 文件的话,也要提供源码,没一个月跑不了。

具体可见 https://addons.mozilla.org/zh-CN/developers/docs/policies/reviews

这样作恶成本就高了,这样对老实并急于分享的开发者不友好,修改还要重新排队等审核,不过也可以迫使开发者好好对待每一个版本。

能通过全面审核基本上都是干净扩展,而且扩展质量比 Chrome 版本的好得多。
wwqgtxx
2013-04-19 21:36:07 +08:00
还是用Firefox吧,AMO中的插件比较放心
banbanchs
2013-04-19 22:54:25 +08:00
下视频可以看看flvcd.com,可以直接用浏览器下载
google在应用审核方面真的做的很烂很烂
byron
2013-04-20 00:11:01 +08:00
唉,我自己要下载的话Chrome自身就可实现下载,关键是给同事用的,so……
Ps:Adblock的网址过滤机制是怎样的?某个域名被ban掉后,有办法弄出来么?
cyr1l
2013-04-20 00:51:35 +08:00
adblock 不是有白名单吗。 添加所在网站入白名单是不是就可以了。
byron
2013-04-20 10:00:52 +08:00
@cyr1l 自己是可以了,别人访问这个网站还是不可以哦。
cyr1l
2013-04-20 11:50:36 +08:00
可以联系屏蔽这个域名的屏蔽列表的列表维护者, 发邮件或者到列表页面反馈, 一般都会给你回复的。 我上次添加issure很快就有了回复。
cyberscorpio
2013-04-20 23:41:20 +08:00
@muzuiget AMO 的审核相对比较放心。不过他们很多编辑都是义务的,所以有的时候不同的编辑可能标准不一样,同样的代码,这个人能过,那个人就不能过。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/66296

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX