谷歌(Google)昨日从官方网站上删除了Chrome浏览器的扩展,原因是谷歌秘密劫持了搜索引擎查询,并将用户重新定向到广告泛滥的搜索结果。
该扩展名为“Youtube队列”,当它从Web Store中删除时,已经安装了近7000名用户。
这个扩展允许用户按照他们想要的顺序排队观看YouTube上的多个视频。
但在引擎罩下,它还拦截搜索引擎查询,通过Croowila URL重定向查询,然后将用户重定向到一个名为Information Vine的自定义搜索引擎。该搜索引擎列出了相同的谷歌搜索结果,但大量填充了广告和关联链接。
大约两周前,用户开始注意到扩展的可疑行为,当时Reddit上出现了第一次报告,几天后又出现了两次。
昨天,在微软边缘工程师(也是前谷歌Chrome开发者)指出扩展的搜索引擎在Twitter上劫持功能后,这个扩展被从网上商店删除了。
Lawrence说,扩展的可疑代码只在ChromeWebStore上列出的版本中找到,而没有在扩展的GitHub存储库中找到。
在接受“注册中心”采访时,该扩展的开发人员声称他没有参与其中,而且他之前将该扩展卖给了一个名为Softools的实体,该实体是一个著名的网络应用平台。
在登记册的后续查询中,Softools否认与扩展的开发有任何关系,更不用说恶意代码了。
恶意实体提供购买Chrome扩展,然后向源代码添加恶意代码的做法并不是新的做法。
这些事件最早在2014年才被看到,到了2017年,一个unknown的政党购买了3个合法的分机(YouTube、打字机听起来,还有twitch迷你播放器),并重新使用它们来在受欢迎的网站上注入广告。
在2017年的一条推文中,DuckDuckGo软件工程师康拉德·德兹维尔(Konrad Dzwinel)说,他通常每周都会收到销售他的扩展程序的问询。
我每周都会收到这样的建议。他们也提供了相当多的钱。
在2019年2月的博客文章中,反病毒制造商Kaspersky警告用户在将其安装到浏览器之前,先将其安装到"做一点研究以确保扩展没有被劫持或出售"上。
开发人员在不通知用户的情况下悄悄出售他们的扩展,以及开发人员热衷于针对Chrome网络商店账户的钓鱼活动,目前恶意软件团伙通过这两种方法接管合法的Chrome扩展,在用户的浏览器中植入恶意代码。
此外,Lawrence指出,YouTube队列扩展成为流氓的情况是一个很好的例子,显示恶意威胁参与者滥用Web请求API来做坏事。
这是大多数广告拦截者正在使用的API,也是Google试图用一个名为“声明性网络请求API”的更加矮小的API来替代的API。
[ALT文本:浏览器扩展滥用webRequestBlockAPI,并将用户的搜索查询从HTTPS网站重定向到使用不安全HTTP的广告的意外搜索引擎。]
这一变化引发了最近关于“谷歌杀死广告阻拦者”的公开讨论。
然而,谷歌上周表示,自2018年1月以来,谷歌在Chrome网站上检测到的所有恶意扩展中,有42%是以某种方式滥用Web请求API--YouTube的队列扩展就是一个例子。
在另一条推特帖子中,Chrome安全工程师贾斯汀·舒赫再次指出,谷歌取代旧的网络请求api的主要目的是隐私和安全驱动,而不是其他任何东西,比如性能或广告拦截,谷歌上周也在一篇博客文章中正式声明了这一点。
Chrome在这一点上的立场是非常一致的。是的,通过Web请求进行声明性网络请求有非常真实的性能好处,但是主要的动机一直是通过对其所需访问的扩展范围来提高安全性和隐私。