Home Sign Up Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
byron
V2EX  ›  程序员

报告一个chrome插件劫持的扩展——劫持淘宝链接!

  •   
  •   byron · Apr 19, 2013 · 8346 views
    This topic created in 4796 days ago, the information mentioned may be changed or developed.
    之前安装了“土豆视频下载”这个插件,方便同事下土豆上的视频。
    结果最近无意中发现它会向一些网页注入js,就是下面两个:
    http://www.life.pm/js/tudoudownload/extension.js
    http://www.life.pm/js/extension.min.js
    对阿里巴巴的某些页面进行劫持。

    去Chrome这个插件的评论里看,还有这么一条:

    盗用别人代码,植入广告,劫持网银!见过无耻的,没见过这么无耻的!!

    还会劫持网银!
    太恐怖了。


    我不是技术,所以没有详细的分析他的实现原理,有朋友感兴趣,可以分析下,公布出来。
    避免其他人上当。

    Ps:如果这个插件的开发中在这里,我只想说:“君子爱财取之以道”
    Supplement 1  ·  Apr 20, 2013
    Ps:
    我看到某个页面css没加载,仔细检查后发现是Adblock把某个域名ban掉了。
    无意中又发现了这个插件的内幕,无心插柳了。
    Adblock的网址过滤机制是怎样的?某个域名被ban掉后,有办法弄出来么?
  • 插件
  • 劫持
  • 网银
    20 replies    1970-01-01 08:00:00 +08:00
    swulling
        1
    swulling  
       Apr 19, 2013
    嘛,淘宝客。这个见多了。。
    swulling
        2
    swulling  
       Apr 19, 2013
    只能说安装扩展时要看下权限
    andybest
        3
    andybest  
       Apr 19, 2013
    chrome插件权限似乎就一种,而且自己也没法调整啊
    @swulling
    olnyshe
        4
    olnyshe  
       Apr 19, 2013
    这年头..谷歌吧没恶意代码.原创的下架..一些有恶意的山寨的还留着

    http://bbs.kafan.cn/thread-1352326-1-1.html
    tension
        5
    tension  
       Apr 19, 2013
    Chrome / Android

    不都是这样吗?????????
    shidenggui
        6
    shidenggui  
       Apr 19, 2013
    谷歌在扩展上真的是不作为啊,任由恶意扩展横行
    linuxer
        7
    linuxer  
       Apr 19, 2013
    AMO上审核还是挺严格的。相反,Chrome上,真是哈哈哈。
    swulling
        9
    swulling  
       Apr 19, 2013
    @andybest 安装扩展时Chrome的警告看不到么

    每个扩展都能选择作用域,像这个插件按理说只应该选择tudou.com相关域。但它肯定是选了全部网页。Chrome对这种情况是中度警告。
    xupefei
        10
    xupefei  
       Apr 19, 2013
    @1423 还有http://userscripts.org/scripts/show/119622
    lightening
        11
    lightening  
       Apr 19, 2013
    下载优酷土豆视频,只要把视频的url中的tudou.com改成xiatudou.com就行了。优酷也一样,xiayouku.com.
    Sivan
        12
    Sivan  
       Apr 19, 2013
    Chrome 上这种插件多了去了……
    muzuiget
        13
    muzuiget  
       Apr 19, 2013
    不审核就是这样的,相反 AMO 有审核生态环境就好点,我也上传过几个扩展,一个月了还是初审资格。

    AMO 审核真的好严格,上传文件后会先自动验证和检查,风险代码会被高亮警告,例如使用 document.createElement('script')。

    然后排队等人工审核,分「初步审核」和「全面审核」,还是代码级的,有意见的话会打回来让你改,新扩展基本只给初审资格。得到初审后,要 10 天后才能重新请求完全审核。每个版本都会审,都要排队,所以好慢(这也可能会扩展的受欢迎程度和作者水平相关,比如 flashgot/noscript 隔几天就有机会更新一次)。

    而且代码要求也很多,不允许从服务器动态载入脚本,不允许混淆(除非是类似 jquery 这样的库),也不许故意写的难理解,有 exe 文件的话,也要提供源码,没一个月跑不了。

    具体可见 https://addons.mozilla.org/zh-CN/developers/docs/policies/reviews

    这样作恶成本就高了,这样对老实并急于分享的开发者不友好,修改还要重新排队等审核,不过也可以迫使开发者好好对待每一个版本。

    能通过全面审核基本上都是干净扩展,而且扩展质量比 Chrome 版本的好得多。
    wwqgtxx
        14
    wwqgtxx  
       Apr 19, 2013 via Android   ❤️ 1
    还是用Firefox吧,AMO中的插件比较放心
    banbanchs
        15
    banbanchs  
       Apr 19, 2013
    下视频可以看看flvcd.com,可以直接用浏览器下载
    google在应用审核方面真的做的很烂很烂
    byron
        16
    byron  
    OP
       Apr 20, 2013
    唉,我自己要下载的话Chrome自身就可实现下载,关键是给同事用的,so……
    Ps:Adblock的网址过滤机制是怎样的?某个域名被ban掉后,有办法弄出来么?
    cyr1l
        17
    cyr1l  
       Apr 20, 2013
    adblock 不是有白名单吗。 添加所在网站入白名单是不是就可以了。
    byron
        18
    byron  
    OP
       Apr 20, 2013
    @cyr1l 自己是可以了,别人访问这个网站还是不可以哦。
    cyr1l
        19
    cyr1l  
       Apr 20, 2013
    可以联系屏蔽这个域名的屏蔽列表的列表维护者, 发邮件或者到列表页面反馈, 一般都会给你回复的。 我上次添加issure很快就有了回复。
    cyberscorpio
        20
    cyberscorpio  
       Apr 20, 2013
    @muzuiget AMO 的审核相对比较放心。不过他们很多编辑都是义务的,所以有的时候不同的编辑可能标准不一样,同样的代码,这个人能过,那个人就不能过。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   2542 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 88ms · UTC 01:37 · PVG 09:37 · LAX 18:37 · JFK 21:37
    ♥ Do have faith in what you're doing.