Chrome扩展的安全性-质疑「豆瓣FM 精美版」要求过大的权限

2013-03-01 14:29:35 +08:00
 xinhugo
Chrome扩展「豆瓣FM 精美版」(https://chrome.google.com/webstore/detail/ofgppnjcdndocgicmodblmfmbdibefbm/)6.2.3_0与6.2.2_0相比,要求更大的权限。

检查扩展代码,首先对比manifest.json,与上一版本不同,使用content_scripts字段,向页面注入js/inject.js脚本;据此检查js/inject.js,发现其引入远程JS(http://send2.eg300.com/js/doubanfmjmb/extension.js)。

尝试下载该JS,但没有成功,也没有找到该域名的信息。

此信息并不意味着笔者认为该扩展有恶意行为,但无论如何应谨慎安装非Google出品的Chrome浏览器扩展。

推荐阅读:谷奥-不可忽视的 Chrome 扩展安全性:http://www.guao.hk/posts/about-chrome-extension-security.html
6528 次点击
所在节点    Chrome
17 条回复
Mutoo
2013-03-01 14:51:16 +08:00
这种非官方的个人扩展本来就需要小心的。不如直接选用域名限制在douban.fm下的userscripts。
feiandxs
2013-03-01 15:08:49 +08:00
豆瓣FM 精美版 …… 名字带XX版(诸如绿色版,优化版,纯净版,无极版)的基本都不是什么好东西。
至少给自己的软件起类似名字的作者的品位都很低级。
xinhugo
2013-03-01 15:23:48 +08:00
@Mutoo 请问你是如何使用userscripts的呢?是直接拖到Chrome扩展程序页面安装,还是使用第三方扩展(例如,Tampermonkey)进行管理呢?

自Chrome稳定版升级到V25,Tampermonkey启用的情况下,打开Evernote网页版,标签就崩溃。
xinhugo
2013-03-01 15:30:54 +08:00
@feiandxs 非官方出品的各种XX版,还真要看作者的人品的。
caomu
2013-03-01 16:11:04 +08:00
嗯,像这种权限不明的扩展,如果我真的要用(例如一个“您在所有网站上的数据、您的标签页和浏览活动”的天气扩展),我就自己下crx,改掉代码然后再打包自用。
xinhugo
2013-03-01 18:58:50 +08:00
@caomu 嗯嗯,对于比价扩展,我也这么干过。但因为学生党,资金有限,不常网购,安装在平常用来测试的Chrome金丝雀版上算了。

你尝试过不重新打包情况下,直接修改 \User Data\Default\Preferences 相应扩展的权限吗?
caomu
2013-03-01 20:48:12 +08:00
@xinhugo 唔,没试过这种play呢。
greatghoul
2013-03-08 14:24:58 +08:00
这个作者的易词典也有这样的问题。
https://chrome.google.com/webstore/detail/易词典/njeebknkghnjbobnghdlfgfaigkjciih

有没有 Chrome 里面类似于安全卫士的扩展呢?能够查这样扩展的?
xinhugo
2013-03-17 20:24:38 +08:00
@greatghoul 「这样的问题」指的是权限,还是引入可疑远程JS?

词典扩展要实现屏幕取词,需要「您在所有网站上的数据」可以理解。不放心的话,可以试试Google Dictionary (by Google)

https://chrome.google.com/webstore/detail/google-dictionary-by-goog/mgijmajocgfcbeboacabfgobmjgjcoja/details
dowhat
2013-03-17 20:39:33 +08:00
啊哦,您没有任何扩展程序 :-( 要改为浏览该程序库吗?

我发现自己竟然一个扩展都没装……
swulling
2013-03-17 20:42:28 +08:00
这个地址能访问啊
http://send2.eg300.com/js/doubanfmjmb/extension.js
会再head里塞这个 s.src="http://send2.eg300.com/js/extension.min.js";

整理下:https://gist.github.com/ninehills/5181343

可以看是劫持taobao/tmail地址
swulling
2013-03-17 20:55:29 +08:00
号召去chrome商店里面report abuse,国人的东西真心不靠谱
shiny
2013-03-17 21:14:04 +08:00
@swulling 这是他未压缩的版本 http://send2.eg300.com/js/extension.js
swulling
2013-03-17 21:50:24 +08:00
@shiny 这人干事好光明正大啊,连注入外部js都要起个inject.js的文件名,哈哈
greatghoul
2013-03-18 14:31:10 +08:00
@greatghoul http://a1.eg300.com/js/extension.min.js

inject.js 中先入了一个外部脚本,然后脚本中又动态了入了一个 extensin.min.js 的东东。虽然是压缩过了,但依然能看出是和淘宝有关的。

我没有细看代码,虽然不一定作者在做恶,但这样隐晦的载入,大概也不是什么见得光的事。

所以还是劝大家少用了,虽然我也不上淘宝什么的,但还是有种被爆菊花的感觉。

不过还是感谢作者开发出易词典这样好用的词典扩展,真的很好用。
wenchao
2013-03-28 00:47:42 +08:00
看商店的最新评论,确实好多人都有这个劫持淘宝的问题。我找到一个 豆瓣FM 精美版 5.4.8 版本的,就是歌词功能貌似不可以了,其它功能都能用。http://pan.baidu.com/share/link?shareid=380685&uk=356416 这个权限就少多了,只要豆瓣fm和百度听*(估计是歌词)的权限。
wenchao
2013-03-28 00:53:32 +08:00
@wenchao 审核失败,我真是服气了。http://www.kuaipan.cn/file/id_2459963993620613.htm 还是金山好啊。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/61667

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX