V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Get Google Chrome
Vimium · 在 Chrome 里使用 vim 快捷键
a90120411
V2EX  ›  Chrome

一款 70 万用户的浏览器插件正在偷偷监视你

  •  2
     
  •   a90120411 · 82 天前 · 5950 次点击
    这是一个创建于 82 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天调试插件时,无意中看到有外出请求发送到 api.simpleallowcopy.com 域名,调查了一下发现是一款 Chrome 插件 —— Simple Allow Copy 在上传浏览数据,会在后台实时将所有打开的 URL 地址上传。

    网上搜索了一下,发现此前已有朋友发现并分析了此插件: https://blog.csdn.net/2401_83799022/article/details/140371549

    个人建议:降级到 0.8.7 版本(我检查了代码,没有此问题),或在防火墙做屏蔽规则。


    多数几句题外话

    本人也是插件开发者,感觉目前 Chrome 插件的安全隐患还是很大的。插件可以获取的权限非常大,且在安装插件之前并没有明确的提示——插件中使用了哪些权限、要与哪些服务地址通信。

    这些权限信息只能是查看插件内部的 manifest 文件或阅读代码来获取。这就造成了一些插件过渡使用了许多高权限的 API ,但用户并不知情。

    此外在 Chrome 浏览器上,插件是没办法关闭自动更新的,当插件的权限变更或隐私政策修改了,用户是不会主动收到通知提醒的,还不如油猴。

    关于隐私政策(此插件在隐私政策中声明了会收集 URL ),绝大多数人是不会在下载插件之前去阅读的,这不符合用户习惯。只能是有人发现问题之后,才有人关注。

    建议大家平时将不常用插件关闭,等用时再手动开启。常用的插件也要限制在特定网站上自动开启,或者点击时启用。

    19 条回复    2024-09-02 14:07:49 +08:00
    haruhi
        1
    haruhi  
       82 天前   ❤️ 2
    比较有意思的是,这个插件在 Chrome extension 页面上标注的是“The developer has disclosed that it will not collect or use your data. To learn more, see the developer’s privacy policy”。

    然后点开对应的 Privacy Policy ,发现收集信息: https://docs.google.com/document/d/1BbtX5YFxnkAoGbL-tJM0zRaLFf4IiH-_ChLvInEoy0k
    shizhibuyu2023
        2
    shizhibuyu2023  
       82 天前
    只用开源或者有盈利方式的插件,其他的实在找不到我宁愿自己写
    之前给别人抄过一个插件。都不用打开目标网站,授权 declarativeNetRequest 改 Origin 和 Referer ,然后就能 CSRF 了,细思极恐
    0o0O0o0O0o
        3
    0o0O0o0O0o  
       82 天前
    我的建议是分浏览器:A 浏览器用于登录重要账户,就像 #2 那样只装声誉极好的插件和自己写的,B 浏览器不登录,爱装什么装什么。因为浏览器真的有很强的策略让恶意插件很难影响到系统本身,但浏览器却并没有什么好策略帮用户约束海量的插件在浏览器内的行为,中招只是早晚的事。
    gbadge
        4
    gbadge  
       82 天前
    上传 URL 没什么吧? Chrome 不也默认上传这些信息吗
    Akagi201
        5
    Akagi201  
       82 天前
    我现在同时用多个浏览器
    * chrome 只安装钱包插件. 安全性要求比较高.
    * arc 默认浏览器, 用来浏览网页, 很多阅读相关插件, 安全性要求比较低.
    * brave 用来看视频, 自带去广告.
    不过中招在所难免, 插件实在太多了, 我觉得还是要能做到即使别人拿到我的一些密码能敏感数据也无法对我做什么破坏. 密码管理器一定要用好, 我是不相信任何云服务的密码管理器, 只自己同步.
    FrankAdler
        6
    FrankAdler  
       82 天前
    强烈推荐一个扩展 Extensity https://chromewebstore.google.com/detail/jjmflmamggggndanpgfnpelongoepncg
    只有一个作用,快速开启禁用其他的扩展,有些扩展好用但是你不放心,或者临时用用它来控制太适合了。
    icaolei
        7
    icaolei  
       82 天前 via Android   ❤️ 1
    sweetcola
        8
    sweetcola  
       82 天前
    接触浏览器插件开发后我就卸载了所有不开源的插件,因为能做的实在是太多了,像这种情况 Edge 那边更是个重灾区,包括 Firefox 里也有很多,只能自己小心
    ignor
        9
    ignor  
       82 天前 via Android
    一直不理解为什么 chrome 插件不支持手动更新。鬼知道哪天插件就被作者卖了,然后突然更新作恶?
    microka
        10
    microka  
       82 天前 via iPhone
    @ignor #9 我的 chrome 很神奇,有的扩展会自动更新,有的要扩展中心手动更新,有老哥懂为啥吗?
    danikeng7890
        11
    danikeng7890  
       82 天前
    感谢,已经卸载
    Liftman
        12
    Liftman  
       82 天前
    已卸载。各位有没有其他推荐?
    a90120411
        13
    a90120411  
    OP
       82 天前   ❤️ 1
    @microka #10 几种可能性供参考:
    1. 不是在 Chrome Web Store 下载的插件;
    2. 新版本和旧版本的 extension ID 不同了;
    3. 用户量大的插件可以进行 A/B 发布;
    jqtmviyu
        14
    jqtmviyu  
       82 天前   ❤️ 2
    商店插件自动更新风险太高了. 我用过的插件后期被加料的有:

    Extension Manager(非开源版): https://www.v2ex.com/t/684433

    The Great Suspender: https://v2ex.com/t/751442

    Stylish: https://www.v2ex.com/t/469033

    smartup/crxMouse: https://www.v2ex.com/t/1046369

    这上面哪一个不是大名顶顶. 我实在怀疑商店的审查到底有多大效果.

    还是暴力猴的脚本更安全, 不允许混淆, 能清楚看到作用域名. 能关闭升级.
    0o0O0o0O0o
        15
    0o0O0o0O0o  
       82 天前
    @jqtmviyu #14 有个好玩的事情是暴力猴自身上架会混淆(其实是前端项目的正常打包压缩)也被社区吐槽过,不过一来它信誉极好社区人也多,二来其实可以编译验证商店版本有没有加料,这样在意安全的人们只需要审一下两个版本间的 commits 就可以,工作量很小,所以问题不会太大
    microka
        16
    microka  
       81 天前
    @a90120411 #13 感谢大佬释疑,之前观察过 1password 某个版本在 Chrome Web Store 发布后,本地扩展并没及时更新(貌似刚发布不到一天或一两天这样),然后我手动更新成功更新了。请问是否 Chrome 在每次运行时会对扩展检查更新?如果浏览器一直不关闭,还会定时给扩展检查更新吗?更新的频率是怎样的呢?
    hefish
        17
    hefish  
       81 天前
    我都被人监视了,该怎么活啊。。。
    我这就去死。。。别拦着我。。。
    lulaolu
        18
    lulaolu  
       81 天前
    @0o0O0o0O0o 没必要,直接用多个 Chrome 账号就行了,切换非常方便。
    a90120411
        19
    a90120411  
    OP
       80 天前   ❤️ 1
    @microka #16 这还真不清楚,据我了解扩展的更新应该是由 Chrome 的 update 服务独立负责的。我找了一个 Chromium 更新协议,里面说是“客户端和服务器可以自由协商客户端进行更新会话的速率。”
    具体可以看一下 Chrome 的日志:


    Chromium 的更新协议( Chrome 的实现可能有所不同): https://source.chromium.org/chromium/chromium/src/+/main:docs/updater/protocol_4.md
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2939 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 14:25 · PVG 22:25 · LAX 06:25 · JFK 09:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.