V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
byron
V2EX  ›  程序员

报告一个chrome插件劫持的扩展——劫持淘宝链接!

  •  
  •   byron · 2013-04-19 11:36:32 +08:00 · 7776 次点击
    这是一个创建于 4241 天前的主题,其中的信息可能已经有所发展或是发生改变。
    之前安装了“土豆视频下载”这个插件,方便同事下土豆上的视频。
    结果最近无意中发现它会向一些网页注入js,就是下面两个:
    http://www.life.pm/js/tudoudownload/extension.js
    http://www.life.pm/js/extension.min.js
    对阿里巴巴的某些页面进行劫持。

    去Chrome这个插件的评论里看,还有这么一条:

    盗用别人代码,植入广告,劫持网银!见过无耻的,没见过这么无耻的!!

    还会劫持网银!
    太恐怖了。


    我不是技术,所以没有详细的分析他的实现原理,有朋友感兴趣,可以分析下,公布出来。
    避免其他人上当。

    Ps:如果这个插件的开发中在这里,我只想说:“君子爱财取之以道”
    第 1 条附言  ·  2013-04-20 00:14:42 +08:00
    Ps:
    我看到某个页面css没加载,仔细检查后发现是Adblock把某个域名ban掉了。
    无意中又发现了这个插件的内幕,无心插柳了。
    Adblock的网址过滤机制是怎样的?某个域名被ban掉后,有办法弄出来么?
    20 条回复    1970-01-01 08:00:00 +08:00
    swulling
        1
    swulling  
       2013-04-19 11:39:43 +08:00
    嘛,淘宝客。这个见多了。。
    swulling
        2
    swulling  
       2013-04-19 11:40:06 +08:00
    只能说安装扩展时要看下权限
    andybest
        3
    andybest  
       2013-04-19 11:49:38 +08:00
    chrome插件权限似乎就一种,而且自己也没法调整啊
    @swulling
    olnyshe
        4
    olnyshe  
       2013-04-19 11:51:12 +08:00
    这年头..谷歌吧没恶意代码.原创的下架..一些有恶意的山寨的还留着

    http://bbs.kafan.cn/thread-1352326-1-1.html
    tension
        5
    tension  
       2013-04-19 11:57:33 +08:00
    Chrome / Android

    不都是这样吗?????????
    shidenggui
        6
    shidenggui  
       2013-04-19 12:02:49 +08:00
    谷歌在扩展上真的是不作为啊,任由恶意扩展横行
    linuxer
        7
    linuxer  
       2013-04-19 12:55:37 +08:00
    AMO上审核还是挺严格的。相反,Chrome上,真是哈哈哈。
    1423
        8
    1423  
       2013-04-19 13:46:30 +08:00
    swulling
        9
    swulling  
       2013-04-19 14:43:42 +08:00
    @andybest 安装扩展时Chrome的警告看不到么

    每个扩展都能选择作用域,像这个插件按理说只应该选择tudou.com相关域。但它肯定是选了全部网页。Chrome对这种情况是中度警告。
    xupefei
        10
    xupefei  
       2013-04-19 17:20:26 +08:00
    lightening
        11
    lightening  
       2013-04-19 18:04:17 +08:00
    下载优酷土豆视频,只要把视频的url中的tudou.com改成xiatudou.com就行了。优酷也一样,xiayouku.com.
    Sivan
        12
    Sivan  
       2013-04-19 18:22:47 +08:00
    Chrome 上这种插件多了去了……
    muzuiget
        13
    muzuiget  
       2013-04-19 20:24:17 +08:00
    不审核就是这样的,相反 AMO 有审核生态环境就好点,我也上传过几个扩展,一个月了还是初审资格。

    AMO 审核真的好严格,上传文件后会先自动验证和检查,风险代码会被高亮警告,例如使用 document.createElement('script')。

    然后排队等人工审核,分「初步审核」和「全面审核」,还是代码级的,有意见的话会打回来让你改,新扩展基本只给初审资格。得到初审后,要 10 天后才能重新请求完全审核。每个版本都会审,都要排队,所以好慢(这也可能会扩展的受欢迎程度和作者水平相关,比如 flashgot/noscript 隔几天就有机会更新一次)。

    而且代码要求也很多,不允许从服务器动态载入脚本,不允许混淆(除非是类似 jquery 这样的库),也不许故意写的难理解,有 exe 文件的话,也要提供源码,没一个月跑不了。

    具体可见 https://addons.mozilla.org/zh-CN/developers/docs/policies/reviews

    这样作恶成本就高了,这样对老实并急于分享的开发者不友好,修改还要重新排队等审核,不过也可以迫使开发者好好对待每一个版本。

    能通过全面审核基本上都是干净扩展,而且扩展质量比 Chrome 版本的好得多。
    wwqgtxx
        14
    wwqgtxx  
       2013-04-19 21:36:07 +08:00 via Android   ❤️ 1
    还是用Firefox吧,AMO中的插件比较放心
    banbanchs
        15
    banbanchs  
       2013-04-19 22:54:25 +08:00
    下视频可以看看flvcd.com,可以直接用浏览器下载
    google在应用审核方面真的做的很烂很烂
    byron
        16
    byron  
    OP
       2013-04-20 00:11:01 +08:00
    唉,我自己要下载的话Chrome自身就可实现下载,关键是给同事用的,so……
    Ps:Adblock的网址过滤机制是怎样的?某个域名被ban掉后,有办法弄出来么?
    cyr1l
        17
    cyr1l  
       2013-04-20 00:51:35 +08:00
    adblock 不是有白名单吗。 添加所在网站入白名单是不是就可以了。
    byron
        18
    byron  
    OP
       2013-04-20 10:00:52 +08:00
    @cyr1l 自己是可以了,别人访问这个网站还是不可以哦。
    cyr1l
        19
    cyr1l  
       2013-04-20 11:50:36 +08:00
    可以联系屏蔽这个域名的屏蔽列表的列表维护者, 发邮件或者到列表页面反馈, 一般都会给你回复的。 我上次添加issure很快就有了回复。
    cyberscorpio
        20
    cyberscorpio  
       2013-04-20 23:41:20 +08:00
    @muzuiget AMO 的审核相对比较放心。不过他们很多编辑都是义务的,所以有的时候不同的编辑可能标准不一样,同样的代码,这个人能过,那个人就不能过。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3060 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 14:46 · PVG 22:46 · LAX 06:46 · JFK 09:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.