怎樣簡單分辨 Chrome 擴展程序是否是惡意擴展？

01-22

Chrome 惡意擴展
Chrome商店惡意擴展反饋集合帖這個帖子二樓的黑名單有許多我曾用過的擴展。
在網上看見說Chrome商店裡很多擴展都是惡意擴展，普通用戶如何能簡單辨別？
有沒有專門限制Chrome擴展的活動和訪問許可權的擴展或程序？

轉自百度貼吧不用懂看代碼，教你看清惡意擴展！_chrome吧

由於谷歌近乎不存在的審核機制，給了一些非常噁心的人可乘之機。

這就是：偽造一個與熱門擴展功能、名字類似的擴展，大量騙取用戶信任。

在用戶購物時，強行插入自己的返利代碼，更過分的情況，盜取支付寶密碼也是不再話下。我觀察了有一段時間，發現惡意擴展的作者主要克隆的對象包括

「優酷去廣告」「火車訂票助手」「購物類擴展」

而且幾乎是一人所為。後來魯夫的愛在調查中發現大量抄襲的惡意擴展之人是

1.優酷殺手, 剽竊者: 陳雨文 (工信部網站備案瓊ICP備12003507號-1) ;

郵箱 : 1330830326@qq.com ;

微博: http://weibo.com/kxhaitao

並在自己博客公布了相關信息。

http://opengg.me/hall-of-shame/

那麼不懂js的小白們如何確認一個擴展是惡意的還是乾淨的？

0、優先使用腳本，而不是擴展，因為腳本可以制定運行的網站，代碼透明

而那些一上來就告訴你「此擴展程序可以訪問：

?您在所有網站上的數據

?您的標籤頁和瀏覽活動」的擴展，那就要一定小心了。

1、看作者

通常由開發者原創的擴展，會在作者名字里添加自己的網站和更新情況。

一般的開發者都有自己的開發主頁，而且會有更新日誌。

而惡意擴展的作者，則會起名「goole官方」「谷歌推薦」「迅雷」等具有迷惑性的作者名字。實際上這些名字和谷歌官方沒有任何關係。

2、看評價

需要注意的是，惡意擴展的作者，通常會僱傭水軍進行刷分，所以不僅要注意評論，還要看一看評論的人是不是水軍。

3、看來自該開發者的更多內容

這個可謂最明顯的特徵，比如chrome惡意擴展「優酷海外版」，當你查看這個作者的其他擴展時，會發現如下諸如

「優酷vip破解」「12306訂票」「優酷殺手」等擴展，呵呵，這些無一例外都是惡意+抄襲擴展，你可以看到那個人已經喪心病狂到什麼程度了。

4、

Chrome://flags/打開Enable extension activity UI這個項目，然後每個擴展的活動你就能自己監控了

我從技術得角度來解析一下這個問題：

Chrome Extension實際上是一個用來擴展web 瀏覽功能而誕生得。

1. 查看許可權（訪問： chrome://extensions）

查看插件需要什麼樣得許可權：一般需要讀取 cookie/storage 的要小心

2. 查看extension 的background page activity （訪問： chrome://extensions -&> 點擊查看背景頁），查看一下background page都做了什麼，是否頻繁

3. 使用fiddler或者charles截獲http request，然後解析一下request body有沒有敏感信息，如果是chrome app的話，還要查看一下tcp請求

4. 直接解壓crx文件查看源碼，看看有沒有惡意行為

有一個直觀的辦法：看它實際做了什麼事

這個官方提供的工具用於審查擴展程序/Chrome Apps的行為

https://chrome.google.com/webstore/detail/ohmmkhmmmpcnpikjeljgnaoabkaalbgc

普通用戶如何能簡單辨別？

確實要從上述內容來甄別擴展程序的行為之前，得先知道什麼行為算是惡意的

比方說那些載入了淘寶客行為的擴展程序
就會在這裡顯現，它訪問過淘寶的若干特定域名(比如http://s.click.taobao.com)
很不幸的是，你還是得知道http://s.click.taobao.com的用途

那麼在這之前，僅安裝來自Chrome Web Store的(活躍且用戶數量多)擴展程序是最簡單的辦法(實際上Windows平台用stable/beta頻道的你已經注意到了，目前已經無法安裝第三方來源的擴展程序了)。

我個人通過Chrome的企業部署模板解除了該限制，意味著我需要自行承擔不利後果(比方說卡巴斯基運行時會自行插入三個擴展程序)：

The features include: - Separate view for unpacked apps/extensions - Inspect views for inspecting app/extension pages using dev tools - Reload an app/extension - Launch an app/extension - View permissions - Pack an app/extension - Uninstall an app/extension - Load an unpacked app/extension - Search for app/extension

只知道有這枚：Extension Defender

https://www.extensiondefender.com/

擴展程序可以做什麼？它可以非同步提交你的頁面信息到他人伺服器。總是神不知鬼不覺的做著這些事情（比如提交你的用戶名，密碼以及訪問的頁面鏈接）。我有一個比較笨的辦法，就是先改擴展程序後綴為rar，然後解壓出來查看代碼。ctrl+F搜索所有與http有關的關鍵字。通過網址你就知道它把你的信息提供給了哪個伺服器，如果那個域名你不熟悉，你就要當心啦！

儘可能只使用用戶量大、口碑好的擴展。

Chrome 擴展廣義上也可以看成是電腦軟體，那麼按照鑒定是否惡意軟體的方法套過去問題一般適用。這些方法前人早已總結，不再詳述。只說兩點。

1. 按需安裝。我想一般安裝擴展的人都是為了解決某個需求，那麼百度、google 一下解決這個需求的推薦擴展，應該能找到正常的、善意的擴展應用。

2. 如果在已經找到了某個擴展，百度、Google 上搜索一下它，如果搜不到，不是惡意程序就是用戶量太少，信不過，換個同樣功能的知名度更高的吧。如果搜得到，一般網上都會有相應的評價可以參考。

感謝陳宇同學的提醒，我使用的是firefox，沒有注意到firefox提供複雜的安全審查，錯誤的把經驗用在chrome上。那麼我就簡單提提我使用chrome期間的看法。

我覺得應該用：使用用戶數多、官方平台可下載、無過多廣告、最好有支持網站的。即使這些插件有後門或者嚴重的漏洞，至少獲得比較多的關注，用戶可以被及時提醒。

我覺得很多用戶不會主動安裝應用，至少大多數網站不會主動向用戶推送應用要求安裝。

普通用戶確實很難判斷，一個程序員也不會閑的蛋疼去看每一個擴展的代碼。如果你打開淘寶之類的網站會莫名其妙的跳轉或者彈出平常不會有的廣告，那你就應該注意你的擴展情況了，一個一個禁用到最後沒有莫名其妙的跡象時候基本就確定了哪個擴展的問題。

另外我認為擴展安裝超過10萬用戶以上的，基本上都會安全。

注意去看評價，如果確實有問題基本上評價上都會有人罵，也不排除惡意插件作者去誹謗正常擴展，看個人經驗判斷了，我也沒能總結出判斷是否惡意擴展的萬能方法。

我覺得對於普通用戶來說，判斷這個行為就已經要求有點高。簡單做法：只安裝在Chrome Web Store託管的擴展程序。

實際上，Chrome的一些版本已經這樣做了，沒有託管到chrome商店的擴展會自動禁用且不能重啟。

補充：Chrome商店的惡意擴展很多這個判斷，不知道題主是從哪裡得到的？Google今年已經加大加緊了對Chrome商店的審查力度，相對來說安全和可信任度比較高。如果還是信不過，那隻能以網購的經驗來判斷是否是刷分：安裝用戶量、評論數量與質量、更新頻率，主要就這三點。