V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Byleth
V2EX  ›  程序员

潜伏在 Chrome 应用商店的恶意扩展

  •  
  •   Byleth · 36 天前 · 2454 次点击
    这是一个创建于 36 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近发现,使用 Google, Bing 搜索网页时,全都会被劫持到一个叫做 maxask.com 的恶意搜索引擎上。

    一番排查,发现是我之前为了单独调高某个标签也的音量,而使用的一个叫做「音量助推器」的扩展,突然开始劫持主流搜索引擎的搜索动作,全部重定向到这个垃圾网站上,这个网站会伪装为谷歌搜索,但是会在返回的搜索内容插入垃圾内容。

    解决后,在 reddit 上看了下,发现了一种惯用的恶意软件分发手法:

    1. 开发一个"小工具"类型的 Chrome 扩展
      • 比如「一键下载页面所有图片」「解锁页面禁止复制限制」「网页全屏截图」等等
    2. 积累足够的用户
      • 这期间,该扩展完全隐藏其恶意代码,表现得自己就是一个非常好用的小工具,极端情况下还能拿到商店推荐位
    3. 先在商店删除扩展
      • 这一步是最绝的,Chrome 当前的机制好像是,某个应用只有在上架状态下被发现有恶意代码(比如收到大量举报),才会自动帮用户卸载
      • 结果呢,这个应用会首先先把自己从 Chrome 扩展商店移除,从而规避了这一自动保护机制!
    4. 再下发启用恶意代码的配置
      • 移除后,这类恶意扩展就会肆意启动劫持行为,而不必担心被 Chrome 安全机制自动移除

    经验教训是,一定谨慎安装任何 小工具/Utility 类别的 Chrome 扩展,比如上面提到的「解锁页面禁止复制限制」「网页全屏截图」等等,哪怕扩展显示有大量用户,也不完全可信,它很可能还在潜伏期。目前来看,只有下面有蓝色对勾认证的大企业扩展是几乎绝对安全的。

    如果一定有需求,感觉可以优先使用禁止混淆、强制开放源码的 GreasyFork 脚本,这样至少还能审查下


    PS: 假搜索引擎的搜索结果,会优先返回印度地区的页面,这证明这类扩展,大概率全是阿三开发的。。。

    10 条回复    2024-10-25 16:59:53 +08:00
    WillBeethoven
        1
    WillBeethoven  
       36 天前   ❤️ 3
    我自己写了插件上架,有一定用户数量后会收到某些自称推广搜索引擎的邮件说让我改用户搜索引擎,给我分成。简单问了下,我觉得污染了我的插件,本来也没想靠这个挣钱,就没后续了。

    wdy3334
        2
    wdy3334  
       36 天前
    「解锁页面禁止复制限制」我还真用了,用的 GreasyFork 脚本
    hereted
        3
    hereted  
       36 天前
    太离谱了
    Byleth
        4
    Byleth  
    OP
       36 天前
    @WillBeethoven 原来如此,看来他们也不一定会自己从头开发
    kingmo888
        5
    kingmo888  
       36 天前
    油猴上我遇到过解除复制的脚本,突然自动更新变成了购物助手,懒得换,直接拒绝更新了。
    不知道这样操作对不对
    little_cup
        6
    little_cup  
       36 天前
    我开发的 Chrome 扩展和 Android 工具类 app 总计以平均每年 20 个左右的速度,收到各种不同公司名义的收购邮件。
    可能是工具类 app 权限比较高吧,虽然非常好奇自己的东西在灰产里到底值多少钱,但为了清白一次也没回复咨询过。
    BigBai
        7
    BigBai  
       36 天前
    @little_cup 是冰箱的作者吧,可千万别搞呀
    顺问一下,冰箱能不能支持定时冻结功能
    james122333
        8
    james122333  
       36 天前 via Android
    扩充本来就是烂东西 自定义 usercss userjs 才是王道 广告拦截也不该考虑用扩充
    dt201909
        9
    dt201909  
       35 天前
    估计也有点像 CDN 投毒的那个方式,看到某些扩展有用户量之后,那些人就买下来投毒。
    threeti
        10
    threeti  
       34 天前
    老哥,前两天刚看完你的帖子,我今天的 v2 账号就被盗了 金币也没刷光了, 发的帖子还没有权重
    参见 https://www.v2ex.com/t/1083641
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5208 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 09:35 · PVG 17:35 · LAX 01:35 · JFK 04:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.