浏览器插件也有病毒?Chrome应用商店还给了精选
浏览器作为检索信息、获取资源的工具,是大部分用户不可或缺的。不管是 Chrome、Edge 还是国产浏览器,他们都有着一个强大功能 - 浏览器插件。通过在线/离线安装扩展插件,可以实现许多神奇功能。
浏览器插件也有“病毒”了?
我们之前也写过在安装、使用教程以及好用的浏览器扩展插件推荐。
能轻松获取各种神仙扩展,Chrome应用商店(Edge扩展商店)提供了一个不错的平台。
但大家在安装使用各种浏览器扩展插件时,可不能忽视其中的威胁。Almost Secure 的安全研究员指出Chrome应用商店中存在不少扩展携带恶意代码。
用作举例的是一款名为 PDF Toolbox (工具箱)的浏览器插件。
它具有 Office 文档转换、PDF 合并、图片转 PDF 等功能,下载量超200万,评分也达到了不错的 4.2 。
然而在实用、良心的外表下,它其实是个 API 包装器。它可以向所有网站注入任意 JavaScript 恶意代码,轻则注入广告,重则盗取信息甚至财产。
这种情况不是个例,在其有限的检查分析后发现了许多有类似恶意代码的浏览器插件。像什么视频跳广告、下载器方面的扩展是重灾区。不到半个月时间,总共增加到了34个,总计下载量超7500万。
讽刺的是,这里面大部分浏览器扩展插件还被Chrome应用商店精选 。
恶意扩展泛滥,主要还是太易于制作和分发了,Google 的审核似乎也没有那么严格。并且即便从商店中删除,已安装的扩展将仍存在于用户电脑上,也不会有安全提示。
恶意的浏览器插件该如何防治?
由于其基于浏览器执行的特殊性,现有的杀毒软件也无法检测扩展程序、拦截危险。
所以只有尽量避免安装有风险的扩展,如果已安装就手动卸载。对于有特定网站使用的扩展还可以设置指定网站来尽量减少风险。
Mainfest V3 扩展程序平台
不过呢,Google 今年就快正式推出的 Mainfest V3 扩展程序平台有望在一定程度上缓解恶意扩展乱象的情况。移除任意字符串执行权限等措施,在安全性方面或许能得到提升。
稳定版推出时间预估为6月后的 1-n 个月,取决于测试情况。
届时,可用的扩展、功能范围、安全性方面都会有比较大的改动,到时候浏览器生态可能又会完全不一样了。
结语
浏览器插件该用还是得用,大可不必杯弓蛇影般的怀疑,影响使用体验。限制一下其的作用网站,并避免在网站上提交隐私信息。不放心就开无痕,浏览器会自动屏蔽所有扩展插件。
本文编辑:@ 小蝾
©本文著作权归电手所有,未经电手许可,不得转载使用。
