浏览器作为检索信息、获取资源的工具,是大部分用户不可或缺的。
随着 Edge 转为 Chromium 内核,Windows 平台基本只剩下 Chrome 和 Chromium 系浏览器。
[图0.jpg|]
不管是 Chrome、Edge 还是国产浏览器,他们都有着一个强大功能 - 浏览器扩展。
通过在线/离线安装扩展插件,可以实现许多神奇功能。
[图1.jpg|]
我们之前也写过在安装、使用教程以及好用的扩展推荐:好人一生平安,浏览器外挂功能打开新世界大门 。
能轻松获取各种神仙扩展,Chrome 应用商店(Edge 扩展商店)提供了一个不错的平台。
[图2.jpg|]
但大家在安装使用各种扩展时,可不能忽视其中的威胁。
Almost Secure 的安全研究员指出 Chrome 应用店中存在不少扩展携带恶意代码。
[图3.jpg|]
用作举例的是一款名为 PDF Toolbox (工具箱)的扩展。
它具有 Office 文档转换、PDF 合并、图片转 PDF 等功能,下载量超200万,评分也达到了不错的 4.2 。
[图4.jpg|]
然而在实用、良心的外表下,它其实是个 API 包装器。
它可以向所有网站注入任意 JavaScript 代码,轻则注入广告,重则盗取信息甚至财产。
[图5.jpg|]
这种情况不是个例,在其有限的检查分析后发现了许多有类似恶意代码的扩展。
像什么视频跳广告、下载器方面的扩展是重灾区。
不到半个月时间,总共增加到了34个,总计下载量超7500万。
[图6.jpg|]
讽刺的是,这里面大部分扩展还被 Chrome 应用商店 精选 。
[图7.jpg|]
恶意扩展泛滥,主要还是太易于制作和分发了,Google 的审核似乎也没有那么严格。
并且即便从商店中删除,已安装的扩展将仍存在于用户电脑上,也不会有安全提示。
[图8.jpg|]
由于其基于浏览器执行的特殊性,现有的杀毒软件,也无法检测扩展程序、拦截危险。
[图9.jpg|]
所以只有尽量避免安装有风险的扩展,如果已安装就手动卸载。
对于有特定网站使用的扩展还可以设置指定网站来尽量减少风险。
图114019-1:
不过呢,Google 今年就快正式推出的 Mainfest V3 扩展程序平台有望在一定程度上缓解恶意扩展乱象的情况。
移除任意字符串执行权限等措施,在安全性方面或许能得到提升。
[图11.jpg|]
稳定版推出时间预估为6月后的 1-n 个月,取决于测试情况。
[图12.jpg|]
届时,可用的扩展、功能范围、安全性方面都会有比较大的改动,到时候浏览器生态可能又会完全不一样了。
来源:今日头条
作者:电手
点赞:0
评论:0
标题:仅几 MB 大小的跳广告、下载神器,成了翻车的重灾区
原文:https://www.toutiao.com/article/7350206603260101159
侵权告知删除:yangzy187@126.com
转载请注明:网创网 www.netcyw.cn/b114019.html
