edge 商店里的 Proxy SwitchyOmega 是李鬼

2020-08-07 01:07:21 +08:00
 Jat001
闲得无聊来扒下皮

首先用 beyond compare 比较一下李鬼跟原版有什么区别,发现 background.html 里多引了一个脚本 js/pic.js


打开 pic.js 看核心代码,用 String.fromCharCode.apply 把 ascii 转回字符串,发现这里实际上是又加载了一个脚本 img/logo.png


把 logo.png 的扩展名改为 html 然后用浏览器打开就会发现这个文件前半部分是 png,后半部分是纯文本。图片浏览器会忽略后半部分,所以仍然可以当作图片正常打开。上面那段代码就是寻找脚本的关键字( sojson ),截取后半部分


所以这段脚本到底是干嘛的呢?由于太长了直接拉到最后


\x73\x70\x6c\x69\x74 是 split,正则 /[a-zA-Z]{1,}/ 是 split 的参数,这一大串其实就是用字母分隔的 ascii 数组,把字母去掉然后用 String.fromCharCode.apply 转回字符串,李鬼现行了

https://gist.github.com/jat001/b10d12eee207c380246e7be74f8e6ed6
30373 次点击
所在节点    分享发现
104 条回复
T0m008
2020-08-10 21:41:12 +08:00
edge 可以直接安装 chrome 商店里的应用
Jat001
2020-08-11 02:45:04 +08:00
@lilydjwg #74 https://addons.mozilla.org/zh-CN/firefox/addon/proxy-switchyomega/ 我把这扩展原原本本地传到了 firefox 的商店,事实证明 mozilla 的审核也发现不了恶意脚本

自动审核只发现了两个无关痛痒的问题:一个是 manifest.json 里的 permissions 有重复字段,这是恶意扩展另加的,估计是复制粘贴过来也没看,删掉重复的就好;另一个是 angular 的版本太低,这个是原本就有的,这自动审核也只是检测注释里的版本号,删掉注释就过了



昨天上传的,今天就通过了,这也印证了我的想法,所谓人工审核就是黑盒测试,能用就给过,根本不会检测恶意代码
Jat001
2020-08-11 02:54:07 +08:00
@youthfire #78 没必要换所有的啊……官方有上传到 edge 商店就用 edge 商店的,不确定是官方上传的再换啊
Jat001
2020-08-11 02:58:47 +08:00
@okampfer #80 公平的讲,不是 edge 商店的问题,审查代码成本太高了,chrome 商店也一堆恶意扩展
lilydjwg
2020-08-11 07:29:03 +08:00
@Jat001 这……
mxT52CRuqR6o5
2020-08-11 08:48:23 +08:00
@Jat001 也许是恶意程度不够呢,再提高恶意试试看
xingyuc
2020-08-11 10:36:22 +08:00
@mywaiting 做个人吧
xuejianxianzun
2020-08-11 10:47:50 +08:00
@Jat001 都是要审核的呀。我在 edge 发布扩展没有交钱(或者是忘了?)。谷歌是交钱了,而且谷歌审核最慢,还封禁过我的扩展和开发者账号,好气。
xuejianxianzun
2020-08-11 10:51:50 +08:00
我的扩展以前发到火狐的时候,要在一个单独的区域提供所有第三方库的原始链接,虽然我尽量做了但最后还是因为这个原因被下架了,我就没再传了。
xuejianxianzun
2020-08-11 10:56:27 +08:00
谷歌的审核还是挺严的,我的扩展在用户要求下加了个功能,就是点击扩展按钮跳转到一个网站(我的扩展是为那个网站设计的),结果上传之后就扩展和开发者账号都被封了。
后来我重新注册账号重新发了扩展,去掉了这个功能。然后每次更新都有很大概率跟我说权限问题不给我过审。我就纳闷了,看看商店里那几个同类型扩展个个权限都不比我少,它们是怎么更新的?现在我害怕再被封所以谷歌商店的很久没传过新版本了。
现在我的扩展一万多用户了,在搜索结果里一些几百用户的扩展还排在我头上,可能因为它们发布的早吧。谷歌真是坑爹
fluffyfoxxo
2020-08-11 17:50:22 +08:00
@maketime4life 问题在于如果使用「导入浏览器数据」功能从 Chrome 中导入扩展,Edge 就会优先从自己的商店安装名字与 Chrome 商店相同的扩展,自己的商店没有再从 Chrome 商店安装。我中招了两个,都是来自这个作者。
Jat001
2020-08-11 18:13:17 +08:00
@mxT52CRuqR6o5 #86 都说了是黑盒测试,不是恶意程度的问题,而是恶意行为是否容易发现
@xuejianxianzun #88 审核功能跟审查代码是两回事,edge 肯定是要交钱的,不然开发者账号都不给开通
@xuejianxianzun #89 倒没遇到过要求提供链接的情况
@xuejianxianzun #90 现在新上架 chrome 商店的扩展,不是要对每项权限写详细说明吗
Jat001
2020-08-11 19:03:51 +08:00
@xuejianxianzun #88 是我记错了,edge 商店不要钱,microsoft 商店要钱
mengqi
2020-08-11 19:38:26 +08:00
Proxy SwitchyOmega 已经下架了
Jat001
2020-08-11 19:39:28 +08:00
@mengqi #94 是的,但这人( edge ext )上传的其他恶意扩展仍旧在 https://microsoftedge.microsoft.com/addons/search/edge%20ext
sdxlh007
2020-08-12 14:31:35 +08:00
怪不得之前设置中文名的规则时,会给我乱码,再给我一个正常中文的规则。。。我以为是个 bug 呢
zilaijuan
2020-08-12 17:15:26 +08:00
今天重装完系统,怎么都搜不到这个插件,原来是个李鬼,被举报下线了。
johnnyhull
2020-08-14 08:04:18 +08:00
chrome 商店没这个问题吧,昨天刚装
LANB0
2020-08-14 10:02:42 +08:00
好奇现在这个插件还有什么用?酸酸乳和 V2 不是自带 pac 的吗
F0nebula
2020-08-20 09:45:28 +08:00
@lilydjwg #74
@Jat001 #82
现在只有 Recommended Extension 才会人工审核

Is the extension safe? Firefox is committed to helping protect you against third party software that may inadvertently compromise your data—or worse—breach your privacy with malicious intent. Before an extension receives Recommended status, it undergoes rigorous technical review by staff security experts.
src: https://support.mozilla.org/en-US/kb/recommended-extensions-program

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/696314

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX