Chrome扩展的安全性-质疑「豆瓣FM 精美版」要求过大的权限

› Vimium · 在 Chrome 里使用 vim 快捷键

This topic created in 4865 days ago, the information mentioned may be changed or developed.

Chrome扩展「豆瓣FM 精美版」（https://chrome.google.com/webstore/detail/ofgppnjcdndocgicmodblmfmbdibefbm/）6.2.3_0与6.2.2_0相比，要求更大的权限。

检查扩展代码，首先对比manifest.json，与上一版本不同，使用content_scripts字段，向页面注入js/inject.js脚本；据此检查js/inject.js，发现其引入远程JS（http://send2.eg300.com/js/doubanfmjmb/extension.js）。

尝试下载该JS，但没有成功，也没有找到该域名的信息。

此信息并不意味着笔者认为该扩展有恶意行为，但无论如何应谨慎安装非Google出品的Chrome浏览器扩展。

推荐阅读：谷奥-不可忽视的 Chrome 扩展安全性：http://www.guao.hk/posts/about-chrome-extension-security.html

Chrome

扩展

17 replies • 1970-01-01 08:00:00 +08:00

Mutoo

Mar 1, 2013

这种非官方的个人扩展本来就需要小心的。不如直接选用域名限制在douban.fm下的userscripts。

feiandxs

Mar 1, 2013

豆瓣FM 精美版 …… 名字带XX版（诸如绿色版，优化版，纯净版，无极版）的基本都不是什么好东西。
至少给自己的软件起类似名字的作者的品位都很低级。

xinhugo

Mar 1, 2013

@Mutoo 请问你是如何使用userscripts的呢？是直接拖到Chrome扩展程序页面安装，还是使用第三方扩展（例如，Tampermonkey）进行管理呢？

自Chrome稳定版升级到V25，Tampermonkey启用的情况下，打开Evernote网页版，标签就崩溃。

xinhugo

Mar 1, 2013

@feiandxs 非官方出品的各种XX版，还真要看作者的人品的。

caomu

Mar 1, 2013

嗯，像这种权限不明的扩展，如果我真的要用（例如一个“您在所有网站上的数据、您的标签页和浏览活动”的天气扩展），我就自己下crx，改掉代码然后再打包自用。

xinhugo

Mar 1, 2013

@caomu 嗯嗯，对于比价扩展，我也这么干过。但因为学生党，资金有限，不常网购，安装在平常用来测试的Chrome金丝雀版上算了。

你尝试过不重新打包情况下，直接修改 \User Data\Default\Preferences 相应扩展的权限吗？

caomu

Mar 1, 2013

@xinhugo 唔，没试过这种play呢。

greatghoul

Mar 8, 2013

这个作者的易词典也有这样的问题。
https://chrome.google.com/webstore/detail/易词典/njeebknkghnjbobnghdlfgfaigkjciih

有没有 Chrome 里面类似于安全卫士的扩展呢？能够查这样扩展的？

xinhugo

Mar 17, 2013

@greatghoul 「这样的问题」指的是权限，还是引入可疑远程JS？

词典扩展要实现屏幕取词，需要「您在所有网站上的数据」可以理解。不放心的话，可以试试Google Dictionary (by Google)

https://chrome.google.com/webstore/detail/google-dictionary-by-goog/mgijmajocgfcbeboacabfgobmjgjcoja/details

dowhat

Mar 17, 2013

啊哦，您没有任何扩展程序 :-( 要改为浏览该程序库吗？

我发现自己竟然一个扩展都没装……

swulling

Mar 17, 2013

这个地址能访问啊
http://send2.eg300.com/js/doubanfmjmb/extension.js
会再head里塞这个 s.src="http://send2.eg300.com/js/extension.min.js";

整理下：https://gist.github.com/ninehills/5181343

可以看是劫持taobao/tmail地址

swulling

Mar 17, 2013

号召去chrome商店里面report abuse，国人的东西真心不靠谱

shiny

PRO

Mar 17, 2013

@swulling 这是他未压缩的版本 http://send2.eg300.com/js/extension.js

swulling

Mar 17, 2013

@shiny 这人干事好光明正大啊，连注入外部js都要起个inject.js的文件名，哈哈

greatghoul

Mar 18, 2013

@greatghoul http://a1.eg300.com/js/extension.min.js

inject.js 中先入了一个外部脚本，然后脚本中又动态了入了一个 extensin.min.js 的东东。虽然是压缩过了，但依然能看出是和淘宝有关的。

我没有细看代码，虽然不一定作者在做恶，但这样隐晦的载入，大概也不是什么见得光的事。

所以还是劝大家少用了，虽然我也不上淘宝什么的，但还是有种被爆菊花的感觉。

不过还是感谢作者开发出易词典这样好用的词典扩展，真的很好用。

wenchao

Mar 28, 2013

看商店的最新评论，确实好多人都有这个劫持淘宝的问题。我找到一个　豆瓣FM 精美版 5.4.8 版本的，就是歌词功能貌似不可以了，其它功能都能用。http://pan.baidu.com/share/link?shareid=380685&uk=356416 这个权限就少多了，只要豆瓣fm和百度听＊（估计是歌词）的权限。

wenchao

Mar 28, 2013

@wenchao 审核失败，我真是服气了。http://www.kuaipan.cn/file/id_2459963993620613.htm　还是金山好啊。