很早以前就听说过Chrome插件有流氓行为,不过“单纯”的我认为只是非Chrome web store渠道下载的插件才会这样,所以一直没放在心上。傻傻认为能通过审核的插件都是“好插件”,不过今天才发现事情不是那么简单。
我们的主角是一个很火的网页截图插件:Awesome Screenshot
在可以Chrome web store中看到他的火爆程度以及良好的评价:
在添加插件的时候,Chrome会提醒你它所需的权限:
注意第一点“读取并更改你访问的网站的所有内容”,这个看起来有点屌啊,当时安装的时候还没注意这点...不过我猜大多数普通用户会和我一样,直接点击“Add”(都tm通过审核了还能做出什么鬼事?我当时就是这么想的)
接下来令人愉快的故事就要发生了,duang~
刚才想写个全自动小脚本,于是乎开始抓包:
随便来个请求:
咦?第一个是我的请求,然后为何突然POST两下呢?
查看一下POST数据:
Base64编码两次,解密后发现...
我了个大槽啊,我刚才发的请求、参数全在里面了....心中一堆动物呼啸而过...
看了一下Origin:
检查了下插件...擦!就是这个Awesome Screenshot!
之后随机测试了一下其他网站,果然也是一样的,会向s*.crdui.com发送请求,然后谷歌之:
诶...防不胜防...
劫持流量的事儿估计它也能干的出来,毕竟有修改网页数据的权限,有兴趣的朋友们也可以验证下。
五星评价的“优秀”插件,也能做出如此流氓的事情,¥!&&#(%#@~~!
废话不多说了,在这提醒大家在安装插件的时候不要盲相信、注意权限。
互联网无隐私。
