V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Jat001
V2EX  ›  分享发现

edge 商店里的 Proxy SwitchyOmega 是李鬼

  Jat001 · 2020-08-07 01:07:21 +08:00 · 30137 次点击
这是一个创建于 1568 天前的主题,其中的信息可能已经有所发展或是发生改变。
闲得无聊来扒下皮

首先用 beyond compare 比较一下李鬼跟原版有什么区别,发现 background.html 里多引了一个脚本 js/pic.js


打开 pic.js 看核心代码,用 String.fromCharCode.apply 把 ascii 转回字符串,发现这里实际上是又加载了一个脚本 img/logo.png


把 logo.png 的扩展名改为 html 然后用浏览器打开就会发现这个文件前半部分是 png,后半部分是纯文本。图片浏览器会忽略后半部分,所以仍然可以当作图片正常打开。上面那段代码就是寻找脚本的关键字( sojson ),截取后半部分


所以这段脚本到底是干嘛的呢?由于太长了直接拉到最后


\x73\x70\x6c\x69\x74 是 split,正则 /[a-zA-Z]{1,}/ 是 split 的参数,这一大串其实就是用字母分隔的 ascii 数组,把字母去掉然后用 String.fromCharCode.apply 转回字符串,李鬼现行了

第 1 条附言  ·  2020-08-11 02:56:46 +08:00
点击图片看大图……
技术不算牛逼,都是小聪明,打几个断点就明白原理了
第 2 条附言  ·  2020-08-11 18:20:56 +08:00
这个恶意扩展被下架了,但这人上传的其他扩展仍然在
https://microsoftedge.microsoft.com/addons/search/edge%20ext
104 条回复    2022-06-13 17:02:44 +08:00
1  2  
wjhjd163
    1
wjhjd163  
   2020-08-07 01:19:36 +08:00 via Android
我一直用的这个...
见鬼
Jat001
    2
Jat001  
OP
   2020-08-07 01:22:32 +08:00   ❤️ 4
@wjhjd163 #1 你没发现购物网站里的链接会跳转返利网站吗?要是这作者水平再高点,想办法把跳转隐藏掉,让用户无法发觉
wjhjd163
    3
wjhjd163  
   2020-08-07 01:23:59 +08:00 via Android
@Jat001 从不在电脑端买东西...
xiri
    4
xiri  
   2020-08-07 01:26:17 +08:00   ❤️ 1
这,,,应该可以去向微软反应吧
xiri
    5
xiri  
   2020-08-07 01:26:33 +08:00
@xiri 反映
Jat001
    6
Jat001  
OP
   2020-08-07 01:27:44 +08:00
@xiri #4 反馈了,不知道有没有用。还在下面评论了,但好像其他人看不见
EricXuu
    7
EricXuu  
   2020-08-07 01:33:45 +08:00   ❤️ 1
我也是昨天无意间看到 GitHub 上的 issue 里有人提到,就去举报然后换了 chrome store 里面的。。
Jat001
    8
Jat001  
OP
   2020-08-07 01:37:17 +08:00   ❤️ 1
@EricXuu #7 https://github.com/bilibili-helper/bilibili-helper-o/issues/695 才发现 4 月份就已经有人扒过皮了,然而这人发布的扩展都还在
EricXuu
    9
EricXuu  
   2020-08-07 01:42:44 +08:00   ❤️ 2
@Jat001 看来微软是毫无作为呀
jedihy
    10
jedihy  
   2020-08-07 03:13:50 +08:00
我举报了。
youthfire
    11
youthfire  
   2020-08-07 03:46:10 +08:00 via iPhone
我也用的这个扩展,但不记得是 Edge 商店还是 Chrome 商店了,看来要自查了,感谢分享
lekai63
    12
lekai63  
   2020-08-07 07:34:13 +08:00 via iPhone
我了个去!
zvcs
    13
zvcs  
   2020-08-07 07:59:20 +08:00 via iPhone
感谢反馈,等下去自查
RNMNNM
    14
RNMNNM  
   2020-08-07 08:00:30 +08:00
图片看不了
zxp
    15
zxp  
   2020-08-07 08:11:34 +08:00   ❤️ 4
应该直接向各大广告联盟投诉,对于这种坑广告投放商钱的行为各大广告联盟应该都是 0 容忍的吧。还可以想工商、通管投诉,这些应该都是主管部门。
whywhywhy
    16
whywhywhy  
   2020-08-07 08:12:41 +08:00
这个……算是黑吃黑吧。。
westoy
    17
westoy  
   2020-08-07 08:38:51 +08:00
@EricXuu 都差不多, 我碰到 chrome 有个扩展叫 exif viewer pro, 会向所有页面植入 google analytics 记录用户的访问记录,google 的举报页反馈了几个月一点用都没用, 看英文评论前年底就有人反馈了, 而且还排第一.....


@zxp 所有广告联盟,对于数据漂亮的流量主, 都是超能忍的, 因为钱是广告主出的, 不是平台出的, 平台反而是在中间分钱的,零容忍针对的是没什么转化的小流量主
lechain
    18
lechain  
   2020-08-07 08:44:19 +08:00 via Android
惊呆了,受害者+1
doveyoung
    19
doveyoung  
   2020-08-07 09:03:16 +08:00
所以老哥是怎么发现的 - -!
Jat001
    20
Jat001  
OP
   2020-08-07 09:06:53 +08:00 via iPhone
@doveyoung 2 楼讲了
lovedebug
    21
lovedebug  
   2020-08-07 09:19:03 +08:00
同被坑,微软审核不严格啊
qiaobeier
    22
qiaobeier  
   2020-08-07 09:20:33 +08:00   ❤️ 1
@zxp 可能还会冻结他的账户余额,因为这是作弊了。
lovedebug
    23
lovedebug  
   2020-08-07 09:22:49 +08:00
已帮忙举报
derekwei
    24
derekwei  
   2020-08-07 09:39:58 +08:00
帮忙举报了
BreadKiller
    25
BreadKiller  
   2020-08-07 09:40:30 +08:00
看来 edge 的商店还是有很多问题,还是直接去 Chrome 商店安装比较好
Xiaomage2333
    26
Xiaomage2333  
   2020-08-07 09:49:50 +08:00
中招了 不知道已经多久了 感谢提醒 edge 还是有很多需要做啊
ferock
    27
ferock  
   2020-08-07 09:53:40 +08:00
感谢,edge 已卸载
Jevan
    28
Jevan  
   2020-08-07 10:19:03 +08:00
已经举报了,前几天发现 egde 商店有这个插件,才换过来的,还以为是官方。
现在换回 Chrome 商店里的了。可怕。
yevision94
    29
yevision94  
   2020-08-07 10:19:43 +08:00
感谢,已经用回谷歌商店的了
jjianwen68
    30
jjianwen68  
   2020-08-07 10:28:16 +08:00
edge 中的恢复了吗
515576745
    31
515576745  
   2020-08-07 10:47:14 +08:00 via Android
wocao😅😅
CodeCodeStudy
    32
CodeCodeStudy  
   2020-08-07 10:49:19 +08:00
还好我不用 Edge 。我用的是 Firefox,自己配置 PAC 。
pi1ot
    33
pi1ot  
   2020-08-07 11:03:53 +08:00
安装 edge 时从 chrome 里导入的没问题吧
irainsoft
    34
irainsoft  
   2020-08-07 11:09:52 +08:00
https://v2ex.com/t/684433#reply14

之前发现这个 Chrome 插件也是跳页面,举报给谷歌也没用
anguiao
    35
anguiao  
   2020-08-07 12:54:07 +08:00 via Android   ❤️ 2
我都是去插件的官网或者 GitHub 找链接,里面没有的我就不装了。
Jooooooooo
    36
Jooooooooo  
   2020-08-07 12:57:03 +08:00


我也希望我有这种赚钱的思维
luojianxhlxt
    37
luojianxhlxt  
   2020-08-07 16:38:39 +08:00
感谢楼主。。。
winterx
    38
winterx  
   2020-08-07 16:42:16 +08:00
感谢楼主 已卸载
hoyixi
    39
hoyixi  
   2020-08-07 19:24:25 +08:00
12~15 年电商开始井喷的时候,干这种劫持还有 stuffing 的很多,有人被判过刑
Maskeney
    40
Maskeney  
   2020-08-07 19:29:28 +08:00
感谢楼主提醒
tanghongkai
    41
tanghongkai  
   2020-08-07 19:42:06 +08:00   ❤️ 1
Proxy SwitchyOmega 官网没有 edge 版,我当时看到就觉得不对劲了
legend4
    42
legend4  
   2020-08-07 19:54:24 +08:00 via Android   ❤️ 3
无论哪个浏览器,建议用 SmartProxy,SwitchyOmega 已经很久没更新了,主要依赖的 Pac 和那啥 List 都已经被边缘化了,现在的主流 Proxy 都已经内置 DNS+IP 分流了,用 SmartProxy 绰绰有余,而且扩展也是开源的。
Jat001
    43
Jat001  
OP
   2020-08-07 20:01:44 +08:00
@legend4 #42 主流 proxy 是什么?
ffflouder
    44
ffflouder  
   2020-08-07 20:19:29 +08:00   ❤️ 2
在 egde 商店下扩展的时候都会看看开发者是谁,然后去 chrome 商店看看,edge 商店上不少应用的开发者名字看起来挺奇怪的,跟李鬼一样。
kenvix
    45
kenvix  
   2020-08-08 00:25:48 +08:00 via Android
已中招。这也能上架?
Jat001
    46
Jat001  
OP
   2020-08-08 00:33:31 +08:00
@kenvix #45 chrome 和 edge 的应用商店都是没审核的,给钱就能开通开发者账号、上传扩展,谷歌 25 刀、巨硬 19 刀,firefox 也没审核,但至少不要钱
RoccoShi
    47
RoccoShi  
   2020-08-08 09:04:17 +08:00
这都能发现 老哥也是人才
yicong135
    48
yicong135  
   2020-08-08 10:11:07 +08:00
要是没看这贴,还不知道
cye3s
    49
cye3s  
   2020-08-08 10:36:12 +08:00
Firefox 扩展站和 github 对比过,一样,没加恶意代码,可以放心
0312birdzhang
    50
0312birdzhang  
   2020-08-08 14:25:53 +08:00 via iPhone
中招+1,感谢分享
hypogaea
    51
hypogaea  
   2020-08-08 15:57:15 +08:00
@legend4 求大神详细科普,我看谷歌商店里的更新日期是在 3 月份啊,应该是更新频率没那么高了吧?前阵子的确是看 GFxList 的作者说是暂停更新了,那么那个 DNS+IP 分流该如何判断呢?
mywaiting
    52
mywaiting  
   2020-08-08 15:59:25 +08:00
刚想找个这样的导流劫持 js 楼主这就送来了~ 感谢~
yvkino
    53
yvkino  
   2020-08-08 16:09:32 +08:00
感谢
copymaster
    54
copymaster  
   2020-08-08 16:10:23 +08:00 via Android
感谢排雷
allin1
    55
allin1  
   2020-08-08 16:10:41 +08:00   ❤️ 1
@hypogaea 在 gayhub 找 FelisCatus 。issues 里置顶了,作者自己忙没时间弄了,chrome 那个只是谷歌政策要求更新权限,实际跟 2.5.20 没啥变化。火狐那个还是 2018 年那个 2.5.20 版本,两年没更新了
lilydjwg
    56
lilydjwg  
   2020-08-08 16:15:52 +08:00
@Jat001 #46 Mozilla 是有审核的,虽然自动化程度比较高。
hypogaea
    57
hypogaea  
   2020-08-08 16:21:25 +08:00
@allin1 哦哦,好吧,去看了更新日期在 2018 年😂,那 GFxList 有替代品吗?还有就是那个 SmartProxy 靠谱吗?
Jat001
    58
Jat001  
OP
   2020-08-08 16:21:45 +08:00
@lilydjwg #56 人工解这种程度的混淆比较简单,一个有经验的程序员十几分钟就能搞定,但要搞个自动化程序来识别就比较困难了
jfdnet
    59
jfdnet  
   2020-08-08 16:27:51 +08:00


看起来不能装 edge 商店的
Ansen
    60
Ansen  
   2020-08-08 18:36:37 +08:00 via iPhone
还好我买了 N1 当旁路由
snw
    61
snw  
   2020-08-08 22:09:57 +08:00 via Android   ❤️ 1
巨硬真是从来没对商店上心过。很久以前的 WP 商店就是李鬼横行。
lilydjwg
    62
lilydjwg  
   2020-08-08 23:41:15 +08:00
@Jat001 #58 Mozilla 不推荐混淆,并且要求提供混淆前的代码用于重现。所以实现应该是这样的:程序发现代码经过混淆,转人工,人工没收到混淆前的代码,直接打回去。(当然这是我觉得合理的推测,Mozilla 是怎么实现的我不清楚。)
Jat001
    63
Jat001  
OP
   2020-08-09 00:51:38 +08:00
@lilydjwg 最关键的一步你倒是省略了……要是有程序能理解代码逻辑,那编程 AI 早实现了
lilydjwg
    64
lilydjwg  
   2020-08-09 01:42:37 +08:00 via Android
@Jat001 不是我省略了,而是不存在。程序应该只是行为分析,看看调用了些什么 api,有没有很容易发现的违规操作,就跟杀毒软件差不多。不确定的就交给人类。
Jat001
    65
Jat001  
OP
   2020-08-09 02:57:52 +08:00
@lilydjwg #64 这脚本也没什么特殊行为啊,就是修改页面,很多扩展都会修改页面,甚至一些比价插件也会往页面插入返利网站的链接,靠程序根本没法区分。

我之所以能发现问题,一是有原始代码供对比,二是上传扩展的人明显就是个脚本小子,这些混淆都是用工具生成的,特征太明显了,正常人根本不会这么写代码。但如果是一个程序员想上传恶意扩展呢,都不需要技术多么牛逼,把代码写得跟屎一样就行,再加一堆没用的代码,谁能审核出来,总不能因为代码写得烂就拒绝上架吧
lilydjwg
    66
lilydjwg  
   2020-08-09 09:18:58 +08:00 via Android
@Jat001 混淆就是特殊行为啊。为什么不能因为代码太垃圾就拒绝上架?想对抗审核,最好的策略是故意留下不那么容易发现的 bug 。
sc104501
    67
sc104501  
   2020-08-09 09:38:47 +08:00
受害者+1,感谢楼主
ryh
    68
ryh  
   2020-08-09 12:23:23 +08:00
at 一下微软的 v 友 @formulahendry
Jat001
    69
Jat001  
OP
   2020-08-09 14:06:34 +08:00 via iPhone
@lilydjwg 之前不是说了根本没有程序可以区分代码是否用了混淆吗?除了这种特征明显,用公开工具生成的混淆代码。我写一个变量和函数名全是用拼音,冗余代码一堆,完全没有代码复用,全是复制粘贴,就算放 github 上也没人想看的那种代码,这算不算混淆?有任何规定说代码写的烂不允许上架吗?你确定这样搞能触发人工审核吗?而且我都怀疑 Mozilla 有那人力搞人工审核吗?

杀毒软件不也是靠特征码,比如我写个程序上传用户数据到我自己的服务器,杀毒软件能做的无非是在程序访问敏感文件的时候拦截,最终判断还是交给用户,但用户也不知道程序访问文件是否正常啊,比如搜索程序访问文件是很正常的行为,但要是这搜索程序还附带偷偷上传文件的功能呢?另外像用到了 p2p 技术的下载软件和网盘程序,读取文件并上传大量数据都是很正常的行为,如何把这种程序跟故意上传用户隐私的程序区分开呢?

说到底,这种连普通用户都无法区分的行为,不要指望靠机器来识别。无论是浏览器扩展的应用商店还是手机 app 的应用商店,都没有那么多人力来人工审核代码,现在大家做的无非就是细化各种权限,最终交给用户来决定是否给予相应的权限。
lilydjwg
    70
lilydjwg  
   2020-08-10 00:46:01 +08:00 via Android
@Jat001 原来你在纠结这个。ml 一个分类器就可以搞定常见的工具了,简单的直接抓 eval 也不是不可以。当然精心设计的不容易抓到,但那种的成本也高。
lilydjwg
    71
lilydjwg  
   2020-08-10 00:53:53 +08:00 via Android   ❤️ 1
@Jat001 另外是有规定看不懂的烂代码不允许上架的:「 Code is considered obfuscated if the logic and meaning is transformed in a way intended to make it difficult for a human to understand or reverse-engineer.」
Jat001
    72
Jat001  
OP
   2020-08-10 07:06:53 +08:00
@lilydjwg #70 我不是纠结这个,我是想说人工审核的成本太高了,连谷歌和微软都没能力搞的事情,mozilla 也没能力搞。而且为啥要直接写 eval 给人抓现行呢,来看看高手怎么玩的



当然,这里的 jquery 是被人魔改后的,490837..toString(32) 估计也不是这个人发明的
kevinle
    73
kevinle  
   2020-08-10 07:56:45 +08:00
@legend4 SmartProxy 没有什么人用啊, 商店看只有 4000+的用户
lilydjwg
    74
lilydjwg  
   2020-08-10 10:14:47 +08:00 via Android
@Jat001 你怎么知道 mozilla 没能力搞呢?难道我遇到的人工审核都是假的?
lilydjwg
    75
lilydjwg  
   2020-08-10 10:15:22 +08:00 via Android
@Jat001 那个图片是 jpeg,太糊了根本看不清。
maketime4life
    76
maketime4life  
   2020-08-10 11:05:26 +08:00
幸好我装的是 Chrome Web Store 里的
maketime4life
    77
maketime4life  
   2020-08-10 11:06:53 +08:00
作者都不一样啊,稍微注意点就不会安装
youthfire
    78
youthfire  
   2020-08-10 11:12:29 +08:00
感谢,已经把 edge 商店所有扩展换为 Chrome 商店里的
Jat001
    79
Jat001  
OP
   2020-08-10 17:31:47 +08:00 via iPhone
@lilydjwg 点开图片就能看到大图,可以放大的,一点也不糊
你不会真的以为 Mozilla 会雇一堆工程师一行行审核代码吧,比如这个扩展,在没有原始代码的情况下,一个个文件找要多久。我估计那些审核都是黑盒的,不可能一行行审计代码
okampfer
    80
okampfer  
   2020-08-10 20:00:38 +08:00
LZ 厉害!

从 Chrome 商店安装是安全了,但问题是同步这些扩展就需要翻 qiang 了。
T0m008
    81
T0m008  
   2020-08-10 21:41:12 +08:00
edge 可以直接安装 chrome 商店里的应用
Jat001
    82
Jat001  
OP
   2020-08-11 02:45:04 +08:00
@lilydjwg #74 https://addons.mozilla.org/zh-CN/firefox/addon/proxy-switchyomega/ 我把这扩展原原本本地传到了 firefox 的商店,事实证明 mozilla 的审核也发现不了恶意脚本

自动审核只发现了两个无关痛痒的问题:一个是 manifest.json 里的 permissions 有重复字段,这是恶意扩展另加的,估计是复制粘贴过来也没看,删掉重复的就好;另一个是 angular 的版本太低,这个是原本就有的,这自动审核也只是检测注释里的版本号,删掉注释就过了



昨天上传的,今天就通过了,这也印证了我的想法,所谓人工审核就是黑盒测试,能用就给过,根本不会检测恶意代码
Jat001
    83
Jat001  
OP
   2020-08-11 02:54:07 +08:00
@youthfire #78 没必要换所有的啊……官方有上传到 edge 商店就用 edge 商店的,不确定是官方上传的再换啊
Jat001
    84
Jat001  
OP
   2020-08-11 02:58:47 +08:00
@okampfer #80 公平的讲,不是 edge 商店的问题,审查代码成本太高了,chrome 商店也一堆恶意扩展
lilydjwg
    85
lilydjwg  
   2020-08-11 07:29:03 +08:00 via Android
@Jat001 这……
mxT52CRuqR6o5
    86
mxT52CRuqR6o5  
   2020-08-11 08:48:23 +08:00 via Android
@Jat001 也许是恶意程度不够呢,再提高恶意试试看
xingyuc
    87
xingyuc  
   2020-08-11 10:36:22 +08:00
@mywaiting 做个人吧
xuejianxianzun
    88
xuejianxianzun  
   2020-08-11 10:47:50 +08:00
@Jat001 都是要审核的呀。我在 edge 发布扩展没有交钱(或者是忘了?)。谷歌是交钱了,而且谷歌审核最慢,还封禁过我的扩展和开发者账号,好气。
xuejianxianzun
    89
xuejianxianzun  
   2020-08-11 10:51:50 +08:00
我的扩展以前发到火狐的时候,要在一个单独的区域提供所有第三方库的原始链接,虽然我尽量做了但最后还是因为这个原因被下架了,我就没再传了。
xuejianxianzun
    90
xuejianxianzun  
   2020-08-11 10:56:27 +08:00
谷歌的审核还是挺严的,我的扩展在用户要求下加了个功能,就是点击扩展按钮跳转到一个网站(我的扩展是为那个网站设计的),结果上传之后就扩展和开发者账号都被封了。
后来我重新注册账号重新发了扩展,去掉了这个功能。然后每次更新都有很大概率跟我说权限问题不给我过审。我就纳闷了,看看商店里那几个同类型扩展个个权限都不比我少,它们是怎么更新的?现在我害怕再被封所以谷歌商店的很久没传过新版本了。
现在我的扩展一万多用户了,在搜索结果里一些几百用户的扩展还排在我头上,可能因为它们发布的早吧。谷歌真是坑爹
fluffyfoxxo
    91
fluffyfoxxo  
   2020-08-11 17:50:22 +08:00
@maketime4life 问题在于如果使用「导入浏览器数据」功能从 Chrome 中导入扩展,Edge 就会优先从自己的商店安装名字与 Chrome 商店相同的扩展,自己的商店没有再从 Chrome 商店安装。我中招了两个,都是来自这个作者。
Jat001
    92
Jat001  
OP
   2020-08-11 18:13:17 +08:00
@mxT52CRuqR6o5 #86 都说了是黑盒测试,不是恶意程度的问题,而是恶意行为是否容易发现
@xuejianxianzun #88 审核功能跟审查代码是两回事,edge 肯定是要交钱的,不然开发者账号都不给开通
@xuejianxianzun #89 倒没遇到过要求提供链接的情况
@xuejianxianzun #90 现在新上架 chrome 商店的扩展,不是要对每项权限写详细说明吗
Jat001
    93
Jat001  
OP
   2020-08-11 19:03:51 +08:00
@xuejianxianzun #88 是我记错了,edge 商店不要钱,microsoft 商店要钱
mengqi
    94
mengqi  
   2020-08-11 19:38:26 +08:00
Proxy SwitchyOmega 已经下架了
Jat001
    95
Jat001  
OP
   2020-08-11 19:39:28 +08:00
@mengqi #94 是的,但这人( edge ext )上传的其他恶意扩展仍旧在 https://microsoftedge.microsoft.com/addons/search/edge%20ext
sdxlh007
    96
sdxlh007  
   2020-08-12 14:31:35 +08:00
怪不得之前设置中文名的规则时,会给我乱码,再给我一个正常中文的规则。。。我以为是个 bug 呢
zilaijuan
    97
zilaijuan  
   2020-08-12 17:15:26 +08:00 via Android
今天重装完系统,怎么都搜不到这个插件,原来是个李鬼,被举报下线了。
johnnyhull
    98
johnnyhull  
   2020-08-14 08:04:18 +08:00 via iPhone
chrome 商店没这个问题吧,昨天刚装
LANB0
    99
LANB0  
   2020-08-14 10:02:42 +08:00
好奇现在这个插件还有什么用?酸酸乳和 V2 不是自带 pac 的吗
F0nebula
    100
F0nebula  
   2020-08-20 09:45:28 +08:00
@lilydjwg #74
@Jat001 #82
现在只有 Recommended Extension 才会人工审核

Is the extension safe? Firefox is committed to helping protect you against third party software that may inadvertently compromise your data—or worse—breach your privacy with malicious intent. Before an extension receives Recommended status, it undergoes rigorous technical review by staff security experts.
src: https://support.mozilla.org/en-US/kb/recommended-extensions-program
1  2  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1015 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 106ms · UTC 20:03 · PVG 04:03 · LAX 12:03 · JFK 15:03
Developed with CodeLauncher
♥ Do have faith in what you're doing.