V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
sweetcola
V2EX  ›  全球工单系统

Edge 扩展商店里部分扩展可能存在恶意代码

  •  
  •   sweetcola · 2022-01-21 15:36:01 +08:00 · 949 次点击
    这是一个创建于 1064 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前情: https://v2ex.com/t/829196

    今天我又发现一个新的“雷同”我的扩展的扩展,这已经是第四个了,实在是有点过分了,我就想着去挖一下,看到底是在干什么。

    我下载扩展后打开“背景页”就发现了一条请求“https: / /coupon.xmluren. com/jpeg/%E8%B0%B7%E6%AD%8C%E5%88%92%E8%AF%8D%E7%BF%BB%E8%AF%91/2/bg.jpeg?t=1642749610979”。 然后在控制台输入chrome.storage.local.get(null, d => console.log(d)),输出了扩展配置,然后有一条是相对我扩展里新增的h1sConfigKey: {谷歌划词翻译#2#bg: '1642749611016###'}。发现 local 里有这种东西后我自然也要去查在 sync 里有没有东西。结果发现了space: {key: 'aHR0cHM6Ly9jb3Vwb24ueG1sdXJlbi5jb20v', name: '谷歌划词翻译#2#', t: 300}。 对aHR0cHM6Ly9jb3Vwb24ueG1sdXJlbi5jb20v进行 atob 后输出 'https://coupon.xmluren.com/'。这个网址又来了。

    于是我用谷歌搜索这个网址后找到这样一个结果举报应用插件:万能视频下载终结者 内含恶意代码,强行操作淘宝和百度文库等

    于是我打开 background.js 里看有没有加什么东西,发现代码量直接多了 2 倍(对比手法是打开 F12 看页面和我的扩展的页面的高度)。我逐行看了一下,但是代码是混淆过的,跟上面发的网站也对比不了什么。于是我下载了第一个“雷同”扩展,也是一样的代码,这就很难办,但是在 storage 里存的东西都是一样的。

    我找不到什么证据,所以标题只能用“可能”。虽然这些扩展本来就是侵权扩展,光是我找到的现在就已经有 9 个了,只能问 Edge 商店的审核到底干什么。

    在这些侵权扩展里有 3 个扩展的链接被展示在 popup 页面,说不定这 3 个扩展也是有相同的代码。

    V 友们请小心这些扩展。

    3 条回复    2022-03-21 10:13:32 +08:00
    wegbjwjm
        1
    wegbjwjm  
       2022-01-21 19:36:59 +08:00 via iPhone
    叫啥呀?外行不懂啊?
    kytrun
        2
    kytrun  
       2022-01-22 16:02:30 +08:00 via Android   ❤️ 1
    所以即使用 Edge 也尽量去 Chrome 扩展商店安装
    ggmood
        3
    ggmood  
       2022-03-21 10:13:32 +08:00 via iPhone
    楼主的插件地址发一下,谢谢
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2723 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 02:11 · PVG 10:11 · LAX 18:11 · JFK 21:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.