一款 70 万用户的浏览器插件正在偷偷监视你

今天调试插件时，无意中看到有外出请求发送到 `api.simpleallowcopy.com` 域名，调查了一下发现是一款 Chrome 插件 —— Simple Allow Copy 在上传浏览数据，会在后台实时将所有打开的 URL 地址上传。

网上搜索了一下，发现此前已有朋友发现并分析了此插件：
https://blog.csdn.net/2401_83799022/article/details/140371549


个人建议：降级到 0.8.7 版本（我检查了代码，没有此问题），或在防火墙做屏蔽规则。


---

### 多数几句题外话

本人也是插件开发者，感觉目前 Chrome 插件的安全隐患还是很大的。插件可以获取的权限非常大，且在安装插件之前并没有明确的提示——插件中使用了哪些权限、要与哪些服务地址通信。

这些权限信息只能是查看插件内部的 manifest 文件或阅读代码来获取。这就造成了一些插件过渡使用了许多高权限的 API ，但用户并不知情。

此外在 Chrome 浏览器上，插件是没办法关闭自动更新的，当插件的权限变更或隐私政策修改了，用户是不会主动收到通知提醒的，还不如油猴。

关于隐私政策（此插件在隐私政策中声明了会收集 URL ），绝大多数人是不会在下载插件之前去阅读的，这不符合用户习惯。只能是有人发现问题之后，才有人关注。

建议大家平时将不常用插件关闭，等用时再手动开启。常用的插件也要限制在特定网站上自动开启，或者点击时启用。

比较有意思的是，这个插件在 Chrome extension 页面上标注的是“The developer has disclosed that it will not collect or use your data. To learn more, see the developer’s privacy policy”。

然后点开对应的 Privacy Policy ，发现收集信息： https://docs.google.com/document/d/1BbtX5YFxnkAoGbL-tJM0zRaLFf4IiH-_ChLvInEoy0k

只用开源或者有盈利方式的插件，其他的实在找不到我宁愿自己写
之前给别人抄过一个插件。都不用打开目标网站，授权 declarativeNetRequest 改 Origin 和 Referer ，然后就能 CSRF 了，细思极恐 https://i.imgur.com/duWRpIu.png

我的建议是分浏览器：A 浏览器用于登录重要账户，就像 #2 那样只装声誉极好的插件和自己写的，B 浏览器不登录，爱装什么装什么。因为浏览器真的有很强的策略让恶意插件很难影响到系统本身，但浏览器却并没有什么好策略帮用户约束海量的插件在浏览器内的行为，中招只是早晚的事。

上传 URL 没什么吧？ Chrome 不也默认上传这些信息吗

我现在同时用多个浏览器
* chrome 只安装钱包插件. 安全性要求比较高.
* arc 默认浏览器, 用来浏览网页, 很多阅读相关插件, 安全性要求比较低.
* brave 用来看视频, 自带去广告.
不过中招在所难免, 插件实在太多了, 我觉得还是要能做到即使别人拿到我的一些密码能敏感数据也无法对我做什么破坏. 密码管理器一定要用好, 我是不相信任何云服务的密码管理器, 只自己同步.

强烈推荐一个扩展 Extensity  https://chromewebstore.google.com/detail/jjmflmamggggndanpgfnpelongoepncg
只有一个作用，快速开启禁用其他的扩展，有些扩展好用但是你不放心，或者临时用用它来控制太适合了。

@FrankAdler #6 有开源的扩展管理器。https://github.com/JasonGrass/auto-extension-manager

接触浏览器插件开发后我就卸载了所有不开源的插件，因为能做的实在是太多了，像这种情况 Edge 那边更是个重灾区，包括 Firefox 里也有很多，只能自己小心

一直不理解为什么 chrome 插件不支持手动更新。鬼知道哪天插件就被作者卖了，然后突然更新作恶？