最近发现,使用 Google, Bing 搜索网页时,全都会被劫持到一个叫做 maxask.com 的恶意搜索引擎上。
一番排查,发现是我之前为了单独调高某个标签也的音量,而使用的一个叫做「音量助推器」的扩展,突然开始劫持主流搜索引擎的搜索动作,全部重定向到这个垃圾网站上,这个网站会伪装为谷歌搜索,但是会在返回的搜索内容插入垃圾内容。
解决后,在 reddit 上看了下,发现了一种惯用的恶意软件分发手法:
1. **开发一个"小工具"类型的 Chrome 扩展**
- 比如「一键下载页面所有图片」「解锁页面禁止复制限制」「网页全屏截图」等等
2. **积累足够的用户**
- 这期间,该扩展完全隐藏其恶意代码,表现得自己就是一个非常好用的小工具,极端情况下还能拿到商店推荐位
3. ***先在商店删除扩展***
- 这一步是最绝的,Chrome 当前的机制好像是,某个应用只有在上架状态下被发现有恶意代码(比如收到大量举报),才会自动帮用户卸载
- 结果呢,这个应用会首先先把自己从 Chrome 扩展商店移除,从而规避了这一自动保护机制!
4. **再下发启用恶意代码的配置**
- 移除后,这类恶意扩展就会肆意启动劫持行为,而不必担心被 Chrome 安全机制自动移除
___
经验教训是,一定谨慎安装任何 小工具/Utility 类别的 Chrome 扩展,比如上面提到的「解锁页面禁止复制限制」「网页全屏截图」等等,**哪怕扩展显示有大量用户,也不完全可信**,它很可能还在潜伏期。目前来看,只有下面有蓝色对勾认证的大企业扩展是几乎绝对安全的。
如果一定有需求,感觉可以优先使用禁止混淆、强制开放源码的 GreasyFork 脚本,这样至少还能审查下
___
PS: 假搜索引擎的搜索结果,会优先返回印度地区的页面,这证明这类扩展,大概率全是阿三开发的。。。
 |
|
