60万用户中招：Chrome”精选”扩展的安全真相

文章目录

1 前言
2 SuperCopy 事件始末
3 个人使用体验
4 具有精选标签的扩展程序并不安全
5 Chrome 扩展程序的审核机制和安全问题
6 安全防范建议
7 结语
8 推荐阅读

前言

近期，拥有超过 60 万用户的 Chrome 扩展程序 SuperCopy 超级复制 被爆出含有恶意代码，这一事件在网络安全社区引起了广泛关注。特别值得注意的是，即便是获得 Chrome 商店”精选”（Featured）标签的扩展程序，同样可能潜藏着安全风险。本文将深入分析这一事件，探讨 Chrome 扩展的安全隐患，并为用户提供全面的防范建议。

SuperCopy 事件始末

事件发现过程

事件最初源于 V 站用户的一个发现。这位用户在使用京东联盟返利功能时，发现部分订单未能获得预期的返利。通过细致观察，他注意到每次访问京东商品详情页时，浏览器中首个标签页会出现短暂的跳转行为。

原贴：《60W 用户 Chrome 插件存在恶意代码》

技术分析

经过深入排查，问题被锁定在 SuperCopy 插件上。该插件会在以下情况触发可疑行为：

条件触发：浏览器打开超过 3 个标签页
行为特征：访问京东商品详情页时自动发起请求
请求细节：向 https://cdn.shopimgs.com/jclk 发送包含商品链接 Base64 编码的请求
最终结果：通过跳转机制将返利归入插件开发者账户

后续发展

该事件在社区发布后，引发了广泛关注，但不久后，用户反映无法复现这一跳转行为。不清楚 SuperCopy 插件的开发者是否在此期间对插件进行了更新和修改。然而，此事也引发了对 Chrome 商店「精选」标签的质疑。

好奇探秘

随后，我从网络上搜索到关于该扩展程序的网页，发现在爆出该新闻不久前在卡饭论坛有网友同样发现了问题：10.24 Supercopy插件的锅，目前已解决。具体的排查过程大家可以到源站进行阅读。这里引用发帖人的部分截图，希望大家看到后，会对 chrome 中的扩展程序有个新的认识。

个人使用体验

不幸的是，我的 Google 浏览器中也正好有该插件，且已经使用过好长时间，不得不说，该插件确实很好用。点击便可直接破解那些无法复制、右键无法呼出菜单的网页。从使用体验上来说，很好用。

然而直到该事件爆出之后，发现我一直自以为的想法得到了否定：贴上精选标签的扩展程序会更加的安全。随后删除了该扩展程序。

就像卡饭论坛那位朋友超超所说：看来是得重视起来浏览器插件和脚本存在的风险了，我以前都是忽略的，用了那么多年也没出过问题，关注的都是浏览和下载过程中出现的风险，没注意过浏览器本身的问题。

插件介绍中的隐私权介绍中似乎大多数的扩展程序都宣称：此产品不会收集或使用您的数据。但好像这句话仅仅是为了满足 chrome 的规范需求而写出来的一句话，具体有没有收集于此话无关。

具有精选标签的扩展程序并不安全

根据 Chrome 应用商店的解释：“精选”标签以为这该款程序遵循了 chrome 的技术最佳做法，并在用户体验和设计方面达到了较高的标准。

虽然在获得“精选”标签之前，每款扩展程序都必须接受 Chrome 应用商店团队的审核。该团队会检查相应扩展程序是否遵循了 CWS 最佳做法、提供了直观的用户体验、使用了最新的平台 API，等等。但似乎在并没有发现更多安全性审核方面的内容。

Chrome 扩展程序的审核机制和安全问题

既然贴上精选标签的扩展程序都无法做到安全，那么问题可能出在审核上，通过网络上，搜集到了一些关于 Chrome 扩展程序的审核机制和安全问题：

Chrome商店的审核机制存在的问题:

自动化审核为主:
- Google主要依赖自动化工具进行代码扫描
- 主要检查明显的恶意代码、病毒和已知的危险模式
- 对于复杂的业务逻辑和隐蔽的恶意行为难以发现
代码更新漏洞:
- 扩展可以在通过初审后，通过更新悄悄植入恶意代码
- 更新审核相对宽松，容易被利用进行”后门植入”
- 一些扩展会使用远程加载代码的方式规避审核
权限管理问题:
- 扩展往往需要较大权限才能实现功能
- 很难判断权限使用是否合理
- 恶意代码可以”合理”使用获得的权限做坏事