V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
探索世界的好奇心万岁
irainsoft
V2EX  ›  分享发现

Chrome 插件“扩展管理器(Extension Manager)”开始在后台标签页偷偷弹广告

  •  5
     
  •   irainsoft · 2020-06-24 14:04:01 +08:00 · 4236 次点击
    这是一个创建于 703 天前的主题,其中的信息可能已经有所发展或是发生改变。

    结论

    如标题的字面意思一样,曾经的一个国产实用插件“扩展管理器”( https://chrome.google.com/webstore/detail/extension-manager/gjldcdngmdknpinoemndlidpcabkggco ) 现在开始利用权限偷偷将用户的标签页重定向到一个固定的导航页( fz2.fengxzi.cn )。你可以很容易地在不少 Chrome 插件推荐中找到对这个插件的介绍,它曾经是很好,但现在不是了。

    开始弹广告的版本应该是 9.3.4,下面有发现其弹广告行为的过程,如果不想阅读可以直接跳到底部,附加了一个其弹窗过程的视频或者检查下你是否有安装这个插件。

    弹窗方式

    触发方式不能确定,应该是在使用时点击链接时触发。为什么不能确定呢?因为它不会在你当前使用的标签页中重定向到广告页,它永远只会在你当前不在使用的后台标签页跳转广告,如果那个标签页中有输入框内容,你有可能丢失那些数据。

    当标签页被劫持到广告页后,它会有两种情况: Ⅰ. 进行快速几次跳转,其中包含广告页,随后返回原本的链接 Ⅱ. 停留在广告页,标签页的标题也会显示为广告页的标题。当用户点击回这个标签页,它会立刻跳转回原本的链接。

    弹窗频率

    非常高,文章写到这里时已经 3 次了。很多情况都是上面提到的情况 1,跳转非常迅速,难以捕捉。并且这种情况下,广告页的链接是无法在浏览器历史记录中看到的。只有在第二种情况下或者第一种情况发生后手动点击返回,才能在浏览器历史记录中记录到。

    如何排查到这个插件的

    我不是专业的开发者,它跳转地也很快,等我切过去后控制台中肯定是干净的,所以捕捉不到啥有用的被嵌入的 JS 代码。

    第一次发现这个问题是 6 月 6 号,情况 2
    6 月 7 号再次发现。盲猜是插件问题,在 Chrome 后台关闭了所有插件。随后点击该标签页,没有跳转回原本的链接,所以确认是插件的问题。
    6 月 8 号。因为它跳转到了一个很辣鸡的中文导航站,所以盲猜是某个中文插件的问题。二分法屏蔽了一批插件( V 站和 B 站相关的插件),全部排除。
    6 月 9 号。和上一天同样的操作,排除了微博相关 /划词翻译和自定义标签页的插件。 6 月 10 号。排除了油猴插件和一些小工具(已经开始不是中文插件了,当时很困惑,因为忘记了扩展管理器也是国产的。最讽刺的是那两天我排除法屏蔽插件时用的就是这个扩展管理器)。

    后面因为其他事情很忙所有没时间理这个问题,直到昨天晚上忽然开始极高频弹广告(一小时内数次,而一开始都是一天一两次),所以开始查有没有类似的问题,发现 V 站内 /t/677688 和我是一样的情况。楼主发了一个 Reddit 链接,顺着过去查问题,发现有人提到了“扩展管理器”。看到这个扩展名的瞬间我基本上就断定是它了,因为我自己已经排除了大概 80%~90%的全部插件了,而这个扩展管理器是最后一个没有被测试的中文插件。

    今天凌晨,在网上买东西时再次弹广告。直接单独屏蔽“扩展管理器”,点击标签页,没有返回原本页面。水落石出。 查了下其最近的更新日期,和开始弹广告的日期基本符合上,下载了前几个版本的安装包并拆了下,代码更新范围非常大,有些文件像是完全重写了一样。

    最后的吐槽

    1. 卸载吧
    2. 我不介意免费软件 /插件有广告,但你有那么多地方放横幅广告为什么偏要来偷偷地弹窗?
    3. 既然你选择了弹窗这种收入方式,建议把打赏的入口关了吧
    4. Chrome 商店 100,000+用户且评分不错的一个插件做如此偷鸡摸狗的事情实在不是明智的选择,用户损失、评分降低是注定的
    5. 这导航页做得也太差劲了吧!一堆 404 页面,热搜内容都不知道是多少年前的新闻了...

    视频链接:

    录屏时忘记调设置,只有 720P,但还是看得清的 B 站: https://www.bilibili.com/video/BV1C54y1B7po/

    第 1 条附言  ·  2020-06-24 17:08:45 +08:00
    B 站视频 0:57 时,可以看到第一个标签页是跳转了一次广告。切过去后长按返回,可以看到上一个页面的标题是正常的,并不是广告页的标题,这也就是为什么 Chrome 历史记录无法记录到所有广告跳转。

    视频 2:10 后,广告跳转开始鬼畜(可能是对亚马逊的链接点击偏爱?)

    该插件目前版本 9.3.5
    9.3.4 链接: https://www.crx4chrome.com/crx/201150/
    9.3.3 链接: https://www.crx4chrome.com/crx/200632/
    9.3.2 链接: https://www.crx4chrome.com/crx/197021/
    15 条回复    2021-05-15 17:26:10 +08:00
    dullwit
        1
    dullwit  
       2020-06-24 14:16:22 +08:00
    huiliyi
        2
    huiliyi  
       2020-06-24 14:58:32 +08:00
    试了下,没有这种情况,等出现了再删吧
    airyland
        3
    airyland  
       2020-06-24 16:09:16 +08:00
    我记得这个插件前一个大版本是要求有访问所有网站的权限。
    irainsoft
        4
    irainsoft  
    OP
       2020-06-24 16:33:14 +08:00   ❤️ 1
    @airyland #3 是,好像是今年 3 月还是 4 月的时候
    geekzhu
        5
    geekzhu  
       2020-06-24 16:51:39 +08:00
    我也在用这个,需要关注一下了
    find456789
        7
    find456789  
       2020-06-24 16:56:29 +08:00
    有大神 分析下源码吗
    Kimyx
        8
    Kimyx  
       2020-06-24 23:36:35 +08:00
    我也有遇到,原来是这个插件搞得鬼,已卸载!
    ob
        9
    ob  
       2020-06-25 09:14:57 +08:00 via Android
    我也在用,需要观察一下了
    blueandhack
        10
    blueandhack  
       2020-06-28 18:20:18 +08:00
    感谢你的反馈,我也出现了这种情况,反复排查后不知道是哪个插件,直到搜到了你发的帖子。
    blueandhack
        11
    blueandhack  
       2020-06-28 18:30:15 +08:00   ❤️ 1
    我已经尝试 “Report abuse” 看一下 Google 会作何反映。
    sinecw
        12
    sinecw  
       2020-06-28 22:17:07 +08:00
    1.你提供给一个给免费软件开发者带来收益的方式
    2.然后尝试联系开发者去改善这个问题
    irainsoft
        13
    irainsoft  
    OP
       2020-06-29 07:54:06 +08:00   ❤️ 1
    @sinecw #12
    1. 我不知道您是作者还是利益相关,这不是盈利模式的问题,不经过用户同意以弹窗的方式发布广告已经违反了 Chrome 要求的滥用行为,并且对用户数据构成威胁
    2. 我已经在正文提到了,我不反对免费程序以广告方式盈利,我个人也是喜欢购买付费插件和软件的。但它这个插件有自己的 popup 区域,为什么不使用横幅广告?作者在插件 popup 区域有提供微信支付宝 Paypal 的赞助二维码
    4. 已经联系,同时也和 10 楼一样向 Google 举报滥用。

    ps. 希望您的团队能够在开发 Chrome 插件时考虑用户隐私相关
    blueandhack
        14
    blueandhack  
       2020-06-29 10:05:17 +08:00
    @sinecw #12
    @irainsoft #13 我同意 irainsoft 的观点,不反对加入广告,但是这种在我不知情的情况下刷流量的行为,篡改我的 Tab,这是我无法容忍的。我是一名开发者,有些 Tab 是在开发中的网页页面,突然就跳转到它的广告页面,这时候开发里面一些临时内容就消失了。
    我愿意订阅,我愿意一次性付费,我愿意捐赠,但是这种没有写在介绍里,没有通知用户并打开某些广告网页的行为,对我造成困扰和威胁。
    Neoth
        15
    Neoth  
       2021-05-15 17:26:10 +08:00
    去年安装的,到现在最后版本 9.4.1,目前还可以用,没有见过弹窗,也没有被 chrome 强制删除插件。但 Google store 插件页面已经删除了。
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2515 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 10:43 · PVG 18:43 · LAX 03:43 · JFK 06:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.