#优质博文 #浏览器插件 #插件
推荐了 Under New Management 扩展,开源、权限正常。间歇性地检查已安装的扩展,查看 Chrome 网上商城中列出的开发者信息是否发生变化。如果有任何不同,扩展图标将显示红色徽章,提醒你发生了更改。
Buying browser extensions for fun and profit
author John Tuckner
via Frontend Focus 684
推荐了 Under New Management 扩展,开源、权限正常。间歇性地检查已安装的扩展,查看 Chrome 网上商城中列出的开发者信息是否发生变化。如果有任何不同,扩展图标将显示红色徽章,提醒你发生了更改。
Buying browser extensions for fun and profit
AI 摘要:本文通过作者购买浏览器扩展并篡改其功能的实验,揭示了浏览器扩展所有权转移的隐蔽性及潜在安全风险,呼吁用户警惕此类交易的恶意利用。
文章以作者购买名为 "Website Blocker" 的 Chrome 扩展为例,详细描述了从 寻找目标扩展 到 所有权转移 、 代码篡改 的全过程。实验发现:
1. 扩展交易市场的活跃性 :开发者常因维护压力或变现困难,在平台(如 extensionhub.io)出售扩展,价格从 $50 到 $100,000 不等。
2. 权限滥用风险 :扩展的declarativeNetRequest和全域名权限(`*://*/*`)可被新所有者用于流量劫持(如重定向至恶意网站)或数据收集。
3. Google 审核机制的漏洞 :
- 所有权转移仅需开发者邮件确认,用户无感知;
- 更新代码时,仅新增权限会触发用户通知,已有权限的功能修改可绕过审查。
作者通过 真实案例 (如高价扩展 "Adblock for YouTube" 易主后收集用户点击流数据)进一步佐证风险。最后提出 应对建议 :
- 使用工具监控扩展所有权变更(如 Under New Management 扩展);
- 定期审查企业内扩展清单,避免使用被售卖的扩展;
- 借助 Secure Annex 等平台进行代码分析和主动警报。
author John Tuckner
via Frontend Focus 684
Secure Annex
Buying browser extensions for fun and profit
An investigation into buying access to browsers through extensions
