原文其实就挺莫名其妙的,现在被国内的自媒体机翻搬运之后,一些内容就更加离谱了。
首先需要澄清的是,wetab 和 infinity 新标签页的确均属我们团队旗下产品,但并未“被投毒”,也没有“主动投毒”,更没有“埋伏长达七年八年”。
infinity 新标签页已上线十余年,如果多年来就已经存在恶意行为,不至于等到今天才被曝光。
以下是澄清原文:
一、关于 koi 团队提到的 Clean Master 浏览器扩展的说明
Clean Master (包含 Chrome 版本和 Edge 版本)最初确由我们团队设计与开发,定位为一款浏览器清理 / 新标签页工具。在最初上线阶段,我们提交的版本严格遵守各浏览器扩展商店的政策,不包含安全报告中提到的后门、远程代码执行或恶意监控行为。
后续出于业务调整和资源聚焦的考虑,Clean Master 的 Chrome 版本整体出售给了第三方,包括相关代码及上架账号的控制权,也无法对其后续更新内容或数据收集行为进行干预或审核。
安全公司报告中提到的 Clean Master Chrome 版本在 2024 年之后推送的恶意更新,并非由我们团队发布,我们也是通过公开渠道才知悉该情况。
需要注意的是,由于 Edge 商店账号及权限无法与 Chrome 一并合法转移给买方,为避免后续出现责任不清、版本混乱等风险,我们已于 2024 年主动将 Clean Master 的 Edge 版本下架,停止维护和更新。并且,在下架前,Edge 版本的 Clean Master 的最终更新时间就已截止在 2020 年,因此与该报告中关于“2024 年之后推送的恶意更新”并无关联。
目前,我们团队不再运营任何名为「 Clean Master 」的浏览器扩展,如用户本地仍保留历史版本,建议及时卸载,以防旧版本被不法分子二次篡改或利用。
二、关于 WeTab / Infinity 的安全性说明
WeTab 与 Infinity 由我们团队独立设计、开发和持续运营,代码基线与早期 Clean Master 已经完全不同,与恶意后门活动无关。
我们对 WeTab / Infinity 进行了多轮内部安全自查,未发现安全报告中所述的远程代码执行后门或恶意行为,也不存在在用户不知情情况下执行任意第三方脚本的情况。
在 koi 团队的公开报告中,并未给出证明 WeTab / Infinity 存在「后门」的有效技术证据,更多是基于「同一开发者账号」「用户体量较大」等关联进行提及。
且原文里提到了 WeTab 收集用户数据这几点,实际上都是为了正常功能所需,且基本都已注明在隐私协议中,不会对用户隐私造任何影响,但被该团队夸大描述,鉴于许多用户无法理解,这里再次解释下原因:
1.每个访问过的 URL:我们默认并没有针对用户访问的 url 和网页内容进行收集,除特殊业务需要,比如:网页对话会读取网页内容,快捷添加图标会读取网页 url 和标题
2.搜索查询:针对用户的搜索内容,有调用 suggestion.baidu.com 和 google.com 接口获取搜索建议,关闭搜索建议功能后则不再调用此接口;
3.本地会记录搜索内容:用于搜索历史功能,但是仅存在本地客户端,不会发送到服务器
4.鼠标点击:我们有使用 google-analytics 匿名记录图标的点击次数,数据存储在 google-analytics ,本地有记录图标点击的次数主要是 ctrl+F 功能排序需要,不会再发送到其他服务器
6.收集大量用户数据并将其泄露到 17 个不同的域:文章贴的代码是百度统计的代码,这个使用的百度默认的搜集,并不会对用户隐私造成任何威胁,并且文章中指向性很强,多次提到发送到中国服务器,这点我们清者自清
7.返利链接:也是一个老生常谈的话题了,返利链接是市面上绝大部分新标签页工具的盈利方式,用户完全可以自行修改,并非罪大恶极之事。
三、关于 WeTab / Infinity 的下架说明
部分用户注意到 WeTab 、Infinity 在某些浏览器扩展商店中出现「下架 / 不可用」的情况,在此做出明确说明:
由于 Clean Master 与 WeTab 、Infinity 曾使用同一开发者账号上架,当相关账号因 Clean Master 事件受到平台风控审查时,平台出于整体风险控制,会对同一账号下的多款扩展采取「统一处理」或「临时下架」措施。
换言之,WeTab 与 Infinity 的下架,是由于开发者账号受到波及,而非因为这两款扩展自身存在恶意代码或安全问题。
在此期间,我们已主动向平台提交了 WeTab / Infinity 的技术说明与安全自查结果,正积极沟通以恢复正常上架。
请大家知悉:
已安装的 WeTab / Infinity 本地版本代码保持不变,不存在临时植入后门或新增恶意行为的情况;下架属于平台账户维度的风控结果,并不代表产品本身被技术认定为恶意扩展。如,此前多款用户基数庞大的广告拦截类扩展基于政策等原因被频繁禁用,且也被打上了恶意扩展的标识。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.