V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Get Google Chrome
Vimium · 在 Chrome 里使用 vim 快捷键
naoh1000
V2EX  ›  Chrome

有大佬帮忙分析一下最近被 Chrome 封禁的恶意扩展 Downloader for Instagram 吗?

  •  
  •   naoh1000 · 2020-12-18 18:45:14 +08:00 via iPhone · 2158 次点击
    这是一个创建于 1442 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://press.avast.com/third-party-browser-extensions-from-instagram-facebook-vimeo-and-others-infected-with-malware

    不知道什么时候装上的扩展,没用过,今天 Chrome 突然提示此扩展含有恶意行为。想知道它会收集哪些信息,上面这篇文章没写清楚。Ins 的 token,其它网站的 token,我自用域名(没有提供给任何其它人)还安全吗?看它有权限访问全部域名下的网页就知道不正常了。
    7 条回复    2020-12-20 14:37:08 +08:00
    naoh1000
        1
    naoh1000  
    OP
       2020-12-19 17:26:35 +08:00
    Andy8X6MK
        2
    Andy8X6MK  
       2020-12-20 00:10:18 +08:00   ❤️ 1
    主要问题出现在 background.js 内,疑似给扩展程序评分时会搜集电邮 Email 。另外平时使用会连结至两个网站,评分同时会给其他扩展程序评分

    Ins 的 token 应该不会外泄,其他网站也不会有外泄风险
    Andy8X6MK
        3
    Andy8X6MK  
       2020-12-20 00:22:49 +08:00   ❤️ 1
    补充 Downloader for Instagram (olkpikmlhoaojbbmmpejnimiglejmboe) 扩展程序(插件)问题
    会连结至 stats (.) script-protection (.) com 和 buso (.) users-experience (.) com
    给这几个类似的扩展程序评分
    "lpokmfekimfmecgdhjdbhidphhchlgml","mhobbbccfdlpigiikcnobledcncomamb","fdfgmkcegdjlpmgjlfkphamedoanpiek","odlpjhnipdekfkdkadoecooboghijleh","njgjofbileedkmkphcmhmpngdjdeloeh","bijmokeebhhbcgafagifkfaicjphhgki","bmnjbdbkbadeaplkemgboepplolkbomd"
    Andy8X6MK
        4
    Andy8X6MK  
       2020-12-20 00:24:18 +08:00   ❤️ 1
    我已自行修改去广告去有害链结去除评分的版本
    www (.) mediafire (.) com / file / tldgy2wlhnx2307

    pan (.) baidu (.) com / s / 1TCy0qKbSfEMaXKiNXwSrJQ
    提取码 dej4

    修改 stories.html popup.html /js/background.js /js/stories.js /js/popup.js
    安装方法: Chrome 扩展程序 > 开发者模式 > 加载已解压的扩展程序
    naoh1000
        5
    naoh1000  
    OP
       2020-12-20 12:37:38 +08:00
    @Andy8X6MK 谢谢大佬,我还发现了几个问题

    * `manifest.json` 中申请了 `\u003Call_urls>` 权限,导致扩展可以作用到全部域名,不知道意义何在。
    * `background.js` 内从下载的图片中提取疑似命令的东西存储在 LocalStorage,不知道是否后借此窃取 token 或进行其它操作。
    naoh1000
        6
    naoh1000  
    OP
       2020-12-20 12:40:19 +08:00
    @Andy8X6MK 另外它还申请了读取访问历史记录的权限,Avast 的报告也提到了它会收集访问记录,请问收集的访问记录会被上传吗?我没找到它上传内容的代码。
    Andy8X6MK
        7
    Andy8X6MK  
       2020-12-20 14:37:08 +08:00
    我也没有找到上传代码,希望其他高手能解析
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2839 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 03:48 · PVG 11:48 · LAX 19:48 · JFK 22:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.