为了增强浏览器的功能,我们通常会在上面安装各种插件。
一些需要第三方软件才能实现的效果,通过插件都可以在浏览器内快速实现。
浏览器插件固然强大方便,但是也有一些弊端——近年来,大量恶意插件在Chrome插件商店浑水摸鱼,严重危害用户安全。
这些恶意插件往往伪装成正常的浏览器工具,被用户下载安装后,就能劫持用户电脑、植入恶意代码、钓鱼、窃取信息、挖矿、重定向到恶意网站等等。
这给Chrome开发团队带来不小的困扰,因为恶意插件屡禁不止,上架速度甚至比谷歌删除它们的速度还快。
今年1月,我们团队所开发的infinity插件也不例外地中招了——山寨版的上传者还非常无耻地将其改成了一款付费工具,合人民币700多元。
今年,微软Edge转投Chromium内核。根据用户反馈,其体验不比Chrome浏览器差,而且完全兼容后者的插件。
再加上Edge的插件商店国内可以正常访问,所以比起Chrome来说省下了不少事。
然而,跟谷歌一样,如今的Edge浏览器插件商店,也面临着审核不严、恶意插件泛滥的问题。
由于Edge插件商店推出的时间不长,因此,有不少来自Chrome商店的知名插件都被人抢先一步搬运了过来。
注意,这些搬运者,并非是Chrome插件的原开发者。
所以,一些别有用心的人便会在这个过程中动手脚,比如在这些插件中插入恶意程序代码、添加后门等等。
近日,据ZDnet US称,在接到用户大量投诉之后,微软宣布在11月20日至25日之间删除了18个插件。
据公告显示,这批被删除的插件主要存在两类问题:
一、山寨插件
它们通常会伪装成Chrome版的官方版本,但实际不是。
这类插件包括Ublock Adblock Plus、Greasemonkey、Wayback Machine等知名工具。
二、流氓插件
还有一部分就更流氓了,它们是直接从Chrome商店中复制搬运的知名插件。
只不过在“开发者”将其搬运到Edge插件商店之前,会在里面加入自己的恶意代码。
靠着这些知名插件的名气和下载量,这些“开发者”便很容易地在大量用户的网页中植入广告获利。
这些插件包括在Chrome商店中非常出名的、拥有200万以上用户的The Great Suspender,以及:
Floating Player
Go Back With Backspace
friGate CDN
Full Page Screenshot
One Click URL Shortener
Guru Cleaner
Grammar and Spelling Checker
Enable Right Click
FNAF
Night Shift Redux
Old Layout for Facebook
微软提到,如果大家使用了以上从Edge商店安装的插件,建议从浏览器中将其删除。
据中招的网友反馈,Edge已经主动暂停了以上违规插件的运行,并警告该扩展程序包含恶意软件。
不过话说回来,这也不是Edge插件商店第一次出现这样的情况了。
今年8月,便有安全人员曝光,Edge商店里的某知名插件是山寨版本。
虽然Edge上的这款插件功能可以正常使用,但是上传者别有用心加入了其他代码。
根据V2EX大神的分析对比,发现其background.html里多引了一个脚本js/pic.js。
这个脚本能够加载商品返利代码,让用户在网购的时候被篡改成另外的页面下单,然后上传者就会获得分成。
此外,插件上传者将该脚本隐藏为一个PNG图像文件,很多专业人士都不一定能注意到其中的问题。
事实上,这款插件早就被曝光含有恶意代码了,评论中也一直都有用户提及此事,但微软却迟迟没有将该插件下架。
并且,在Edge插件商店中,也不止是这一些插件存在问题。
据了解,去年12月微软的Edge浏览器插件商店上线后,只有大约160个插件上线。
此后,这个数字迎来了飞跃式的增长,恶意插件的数量也相应增多。
外媒报道称,在过去十年中,Chrome和Firefox插件商店在网络犯罪分子中“备受青睐”。
随着Edge浏览器的使用量不断增加,预计这类事件将变得更加普遍。
就目前而言,微软官方的Edge商店审核效率确实是有些低下的。对于用户来说,我们能做的,还是在安装新插件前,一定要多阅读评论,谨慎下载安装。
3699
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
