警惕恶意浏览器插件

10 月 21 日更新:奶爸做了一个浏览器扩展来检查已安装的扩展被 Chrome Web Store 下架的情况,并做出提醒,点此 安装

早上看「哪吒监控」的 英文文档 更新,看到了一个新的缩写「O&M」,然后准备搜索验证一下这个缩写是否是「Operations and Maintenance」的含义,结果地址栏搜索之后跳转到了一个 trovi.com 开头的链接上面。因为奶爸的路由器上面有装 Adguard Home,该域名的 DNS 被拦截,网站没能打开,所以奶爸才意识到这个链接不对,奶爸的浏览器或电脑 入侵

浏览器上面装着钱包,必须妥善解决。

首先是排除了路由上的 DNS 问题,使用手机搜索了一下发现没有跳转。

然后排除了电脑问题,使用 Safari 进行搜索没有跳转。

那么问题就定位到 Chrome 上面了,大概率就是某个扩展作恶了,试了试搜索其他关键词还会跳转到 systemredirecting.com 再跳回搜索引擎的搜索结果页,因为昨天有更新几个 uBlock Origin 规则,所以奶爸第一时间就去检查了一下规则里面有没有 trovi / systemredirecting 相关的代码,结果没有,然后发现 uBO 有一个 log 功能,打开可以看到插件对网页做出的改动的记录。

SCR20220521dat.jpeg

经过简单的分析,搜索引擎的域名是在插入了 onlinesly.com 的脚本之后被修改的,

SCR20220521dba.jpeg

如果是 uBO 自身嵌入的,会有一个规则的信息,但是这里没有,目前我们还没法知道是哪个插件嵌入的该脚本。接下来就是经验了 😢 因为之前做过浏览器插件,对插件 URL 比较敏感,这个 eid 应该是浏览器插件的 ID。

SCR20220521dbx.png

原来是前段时间安装的 Slick color picker 一个网页拾色器,估计很多前端工程师都会用……一些个人开发的扩展能不用还是不要用啊,说不定哪天就做恶了,谁能想到一个网页拾色器会作恶。该扩展于 19 号被移除,但是 Chrome 安全扫描没有扫出结果,浏览器也没有相关的移除提醒

image.png

此扩展影响 4w + 人(不含离线安装),卸载,恢复正常。

Comments