小心!Chrome 擴充套件背後的惡意軟體產業鏈

小心!Chrome 擴充套件背後的惡意軟體產業鏈

Chrome瀏覽器擴充套件的自動升級策略給用戶帶來了不少便利,但這種便利被一些惡意團體使用之後就變成了隱患。近日,Google 不得不人為地從 Chrome Web Store 中移除兩款包含了惡意廣告的擴充套件——Add to Feedly和Tweet This Page,以緩解用戶的抱怨。

拿Add to Feedly舉例來說,在Google關閉Google Reader之後,Add to Feedly的作者Amit Agarwal就切換到了替代服務Feedly上。但由於Feedly沒有一個官方的擴充套件可以讓用戶透過點擊Web頁面訂閱RSS,所以Amit就自己動手寫了一個。當Add to Feedly聚集起一定的用戶數之後,某天早晨,Amit突然收到一封陌生人的郵件聲稱希望通過四位數的價格購買他的擴充套件。Amit覺得這個擴展只是自己一個小時的工作成果而已,所以就答應把Add to Feedly出售給對方。

悲劇就此誕生。一個月後,Add to Feedly的新主人對其進行了一次升級,但除了把廣告整合進去之外沒有加入任何新功能。接著,Google又默默地把新版推送給了所有安裝Add to Feedly的Chrome用戶,然後這些用戶發現不論自​​己瀏覽什麼頁面都會有廣告出現。Add to Feedly也就由一款工具擴展淪落成了惡意軟體。

Add to Feedly並不是孤立事件,Tweet This Page也有著類似的遭遇。Amit Agarwal在部落格上詳述了自己售賣Add to Feedly的過程並表示相當後悔。而事實上,收買那些已經具備一定用戶數量的Chrome擴充套件,然後把惡意程序或者廣告整入其中已經成為了一個產業鏈條。有著20多萬用戶的Chrome擴展Honey的開發者之一就在Reddit上表 ​​示,過去一年來,各式各樣的團體曾接觸他們以期待能收買Honey擴充套件、用戶數據或尋求廣告合作。Google雖然出台了不少政策來提升Chrome瀏覽器的安全性,但看上去仍然有一些機制被惡意利用。

惡意軟體和廣告廠商之所以如此熱衷於購買Chrome擴充套件,很大程度上也是由於它可以悄無聲息的自動升級。如果一個Chrome擴充套件在更新之後並沒有請求新的權限那麼用戶就不會得到升級通知,即使請求了新的權限Google給用戶的通知也可能是非常官方的術語比如:該擴充套件想訪問你的數據及網頁。普通用戶看完之後八成是一頭霧水。而且目前Google又沒為用戶提供合適的方法來禁止擴充套件自動升級,所以惡意團體在購買到Chrome擴充套件之後,只需對其進行再包裝,就可以以非常低廉的成本將其推送到用戶端,進而獲利。

對於用戶來說即使發現有惡意擴充套件向自己的網頁中插入廣告,這個發現和刪除它的過程也是非常麻煩的。比如我曾經就遇到過惡意擴充套件在網頁下插入橫幅廣告,但由於安裝的擴充套件並不是一個兩個,一時半會也沒法確定到底是誰在惡意地插入廣告,所以不得不按可能性一個一個的猜。

所以看上去Google要製止像Add to Feedly這樣類似的事件再度發生,恐怕要繼續更新Chrome的安全機製或者Chrome Web Store的政策了。比如要求所有擴充套件升級之前必須得到用戶的允許、註明以何種形式集成廣告,抑或增大對升級擴充套件的審查力度等等。

 

小心!Chrome 擴充套件背後的惡意軟體產業鏈

PingWest中文網
作者

PingWest是一家全球視野的尖端科技媒體,提供關於中國與美國的最尖端科技創業資訊,致力於成為溝通這兩個全球最大互聯網/移動市場的互聯網社群。

使用 Facebook 留言
小克
2.  小克 (發表於 2014年1月22日 08:52)
可以改用Feedly Subscriber
還比較好用~
https://chrome.google.com/webstore/detail/feedly-subscriber/kflhgnleiaemnemmnbfndohdoabfnock
發表回應
謹慎發言,尊重彼此。按此展開留言規則