潜伏在 Chrome 应用商店的恶意扩展

Byleth · 2024-10-23 11:13:42 · 66 次点击
最近发现,使用 Google, Bing 搜索网页时,全都会被劫持到一个叫做 maxask.com 的恶意搜索引擎上。

![]( https://i.imgur.com/pE2fLLD.png)

一番排查,发现是我之前为了单独调高某个标签也的音量,而使用的一个叫做「音量助推器」的扩展,突然开始劫持主流搜索引擎的搜索动作,全部重定向到这个垃圾网站上,这个网站会伪装为谷歌搜索,但是会在返回的搜索内容插入垃圾内容。

解决后,在 reddit 上看了下,发现了一种惯用的恶意软件分发手法:

1. **开发一个"小工具"类型的 Chrome 扩展**
        - 比如「一键下载页面所有图片」「解锁页面禁止复制限制」「网页全屏截图」等等
2. **积累足够的用户**
        - 这期间,该扩展完全隐藏其恶意代码,表现得自己就是一个非常好用的小工具,极端情况下还能拿到商店推荐位
3. ***先在商店删除扩展***
        - 这一步是最绝的,Chrome 当前的机制好像是,某个应用只有在上架状态下被发现有恶意代码(比如收到大量举报),才会自动帮用户卸载
    - 结果呢,这个应用会首先先把自己从 Chrome 扩展商店移除,从而规避了这一自动保护机制!
4. **再下发启用恶意代码的配置**
        - 移除后,这类恶意扩展就会肆意启动劫持行为,而不必担心被 Chrome 安全机制自动移除
___

经验教训是,一定谨慎安装任何 小工具/Utility 类别的 Chrome 扩展,比如上面提到的「解锁页面禁止复制限制」「网页全屏截图」等等,**哪怕扩展显示有大量用户,也不完全可信**,它很可能还在潜伏期。目前来看,只有下面有蓝色对勾认证的大企业扩展是几乎绝对安全的。

![]( https://i.imgur.com/qkgzNXA.png)

如果一定有需求,感觉可以优先使用禁止混淆、强制开放源码的 GreasyFork 脚本,这样至少还能审查下

___

PS: 假搜索引擎的搜索结果,会优先返回印度地区的页面,这证明这类扩展,大概率全是阿三开发的。。。

![]( https://i.imgur.com/sfeH3V3.png)
举报· 66 次点击
登录 注册 站外分享
4 条回复  
WillBeethoven 小成 2024-10-23 11:23:04
我自己写了插件上架,有一定用户数量后会收到某些自称推广搜索引擎的邮件说让我改用户搜索引擎,给我分成。简单问了下,我觉得污染了我的插件,本来也没想靠这个挣钱,就没后续了。

https://i.imgur.com/mo4G8si.png
wdy3334 初学 2024-10-23 11:23:47
「解锁页面禁止复制限制」我还真用了,用的 GreasyFork 脚本
hereted 初学 2024-10-23 11:24:45
太离谱了
返回顶部