瀏覽器插件也有病毒?Chrome應用商店還給了精選
瀏覽器作為檢索信息、獲取資源的工具,是大部分用戶不可或缺的。不管是 Chrome、Edge 還是國產瀏覽器,他們都有著一個強大功能 - 瀏覽器插件。通過在線/離線安裝擴展插件,可以實現許多神奇功能。
瀏覽器插件也有“病毒”了?
我們之前也寫過在安裝、使用教程以及好用的瀏覽器擴展插件推薦。
能輕松獲取各種神仙擴展,Chrome應用商店(Edge擴展商店)提供了一個不錯的平臺。
但大家在安裝使用各種瀏覽器擴展插件時,可不能忽視其中的威脅。Almost Secure 的安全研究員指出Chrome應用商店中存在不少擴展攜帶惡意代碼。
用作舉例的是一款名為 PDF Toolbox (工具箱)的瀏覽器插件。
它具有 Office 文檔轉換、PDF 合并、圖片轉 PDF 等功能,下載量超200萬,評分也達到了不錯的 4.2 。
然而在實用、良心的外表下,它其實是個 API 包裝器。它可以向所有網站注入任意 JavaScript 惡意代碼,輕則注入廣告,重則盜取信息甚至財產。
這種情況不是個例,在其有限的檢查分析后發現了許多有類似惡意代碼的瀏覽器插件。像什么視頻跳廣告、下載器方面的擴展是重災區。不到半個月時間,總共增加到了34個,總計下載量超7500萬。
諷刺的是,這里面大部分瀏覽器擴展插件還被Chrome應用商店精選 。
惡意擴展泛濫,主要還是太易于制作和分發了,Google 的審核似乎也沒有那么嚴格。并且即便從商店中刪除,已安裝的擴展將仍存在于用戶電腦上,也不會有安全提示。
惡意的瀏覽器插件該如何防治?
由于其基于瀏覽器執行的特殊性,現有的殺毒軟件也無法檢測擴展程序、攔截危險。
所以只有盡量避免安裝有風險的擴展,如果已安裝就手動卸載。對于有特定網站使用的擴展還可以設置指定網站來盡量減少風險。
Mainfest V3? 擴展程序平臺
不過呢,Google 今年就快正式推出的 Mainfest V3? 擴展程序平臺有望在一定程度上緩解惡意擴展亂象的情況。移除任意字符串執行權限等措施,在安全性方面或許能得到提升。
穩定版推出時間預估為6月后的 1-n 個月,取決于測試情況。
屆時,可用的擴展、功能范圍、安全性方面都會有比較大的改動,到時候瀏覽器生態可能又會完全不一樣了。
結語
瀏覽器插件該用還是得用,大可不必杯弓蛇影般的懷疑,影響使用體驗。限制一下其的作用網站,并避免在網站上提交隱私信息。不放心就開無痕,瀏覽器會自動屏蔽所有擴展插件。
本文編輯:@ 小蠑
?本文著作權歸電手所有,未經電手許可,不得轉載使用。
