有大佬帮忙分析一下最近被 Chrome 封禁的恶意扩展 Downloader for Instagram 吗?
naoh1000 · 2020-12-18 18:45:14 +08:00 via iPhone · 2152 次点击这是一个创建于 1436 天前的主题,其中的信息可能已经有所发展或是发生改变。
https://press.avast.com/third-party-browser-extensions-from-instagram-facebook-vimeo-and-others-infected-with-malware
不知道什么时候装上的扩展,没用过,今天 Chrome 突然提示此扩展含有恶意行为。想知道它会收集哪些信息,上面这篇文章没写清楚。Ins 的 token,其它网站的 token,我自用域名(没有提供给任何其它人)还安全吗?看它有权限访问全部域名下的网页就知道不正常了。
不知道什么时候装上的扩展,没用过,今天 Chrome 突然提示此扩展含有恶意行为。想知道它会收集哪些信息,上面这篇文章没写清楚。Ins 的 token,其它网站的 token,我自用域名(没有提供给任何其它人)还安全吗?看它有权限访问全部域名下的网页就知道不正常了。
 |
1
naoh1000 OP |
 |
2
Andy8X6MK 2020-12-20 00:10:18 +08:00  1
主要问题出现在 background.js 内,疑似给扩展程序评分时会搜集电邮 Email 。另外平时使用会连结至两个网站,评分同时会给其他扩展程序评分
Ins 的 token 应该不会外泄,其他网站也不会有外泄风险 |
|
3
Andy8X6MK 2020-12-20 00:22:49 +08:00 1
补充 Downloader for Instagram (olkpikmlhoaojbbmmpejnimiglejmboe) 扩展程序(插件)问题
会连结至 stats (.) script-protection (.) com 和 buso (.) users-experience (.) com 给这几个类似的扩展程序评分 "lpokmfekimfmecgdhjdbhidphhchlgml","mhobbbccfdlpigiikcnobledcncomamb","fdfgmkcegdjlpmgjlfkphamedoanpiek","odlpjhnipdekfkdkadoecooboghijleh","njgjofbileedkmkphcmhmpngdjdeloeh","bijmokeebhhbcgafagifkfaicjphhgki","bmnjbdbkbadeaplkemgboepplolkbomd" |
|
4
Andy8X6MK 2020-12-20 00:24:18 +08:00 1
我已自行修改去广告去有害链结去除评分的版本
www (.) mediafire (.) com / file / tldgy2wlhnx2307 pan (.) baidu (.) com / s / 1TCy0qKbSfEMaXKiNXwSrJQ 提取码 dej4 修改 stories.html popup.html /js/background.js /js/stories.js /js/popup.js 安装方法: Chrome 扩展程序 > 开发者模式 > 加载已解压的扩展程序 |
|
5
naoh1000 OP @Andy8X6MK 谢谢大佬,我还发现了几个问题
* `manifest.json` 中申请了 `\u003Call_urls>` 权限,导致扩展可以作用到全部域名,不知道意义何在。 * `background.js` 内从下载的图片中提取疑似命令的东西存储在 LocalStorage,不知道是否后借此窃取 token 或进行其它操作。 |
|
6
naoh1000 OP @Andy8X6MK 另外它还申请了读取访问历史记录的权限,Avast 的报告也提到了它会收集访问记录,请问收集的访问记录会被上传吗?我没找到它上传内容的代码。
|
|
7
Andy8X6MK 2020-12-20 14:37:08 +08:00
我也没有找到上传代码,希望其他高手能解析
|
Select Language