这是一个创建于 1552 天前的主题,其中的信息可能已经有所发展或是发生改变。
闲得无聊来扒下皮
首先用 beyond compare 比较一下李鬼跟原版有什么区别,发现 background.html 里多引了一个脚本 js/pic.js
打开 pic.js 看核心代码,用 String.fromCharCode.apply 把 ascii 转回字符串,发现这里实际上是又加载了一个脚本 img/logo.png
把 logo.png 的扩展名改为 html 然后用浏览器打开就会发现这个文件前半部分是 png,后半部分是纯文本。图片浏览器会忽略后半部分,所以仍然可以当作图片正常打开。上面那段代码就是寻找脚本的关键字( sojson ),截取后半部分
所以这段脚本到底是干嘛的呢?由于太长了直接拉到最后
\x73\x70\x6c\x69\x74 是 split,正则 /[a-zA-Z]{1,}/ 是 split 的参数,这一大串其实就是用字母分隔的 ascii 数组,把字母去掉然后用 String.fromCharCode.apply 转回字符串,李鬼现行了
首先用 beyond compare 比较一下李鬼跟原版有什么区别,发现 background.html 里多引了一个脚本 js/pic.js
打开 pic.js 看核心代码,用 String.fromCharCode.apply 把 ascii 转回字符串,发现这里实际上是又加载了一个脚本 img/logo.png
把 logo.png 的扩展名改为 html 然后用浏览器打开就会发现这个文件前半部分是 png,后半部分是纯文本。图片浏览器会忽略后半部分,所以仍然可以当作图片正常打开。上面那段代码就是寻找脚本的关键字( sojson ),截取后半部分
所以这段脚本到底是干嘛的呢?由于太长了直接拉到最后
\x73\x70\x6c\x69\x74 是 split,正则 /[a-zA-Z]{1,}/ 是 split 的参数,这一大串其实就是用字母分隔的 ascii 数组,把字母去掉然后用 String.fromCharCode.apply 转回字符串,李鬼现行了
第 1 条附言 · 2020-08-11 02:56:46 +08:00
点击图片看大图……
技术不算牛逼,都是小聪明,打几个断点就明白原理了
技术不算牛逼,都是小聪明,打几个断点就明白原理了
第 2 条附言 · 2020-08-11 18:20:56 +08:00
这个恶意扩展被下架了,但这人上传的其他扩展仍然在
https://microsoftedge.microsoft.com/addons/search/edge%20ext
https://microsoftedge.microsoft.com/addons/search/edge%20ext
 |
1
wjhjd163 2020-08-07 01:19:36 +08:00 via Android
我一直用的这个...
见鬼 |
 |
2
Jat001 OP  4
@wjhjd163 #1 你没发现购物网站里的链接会跳转返利网站吗?要是这作者水平再高点,想办法把跳转隐藏掉,让用户无法发觉
|
 |
4
xiri 2020-08-07 01:26:17 +08:00 1
这,,,应该可以去向微软反应吧
|
 |
7
EricXuu 2020-08-07 01:33:45 +08:00 1
我也是昨天无意间看到 GitHub 上的 issue 里有人提到,就去举报然后换了 chrome store 里面的。。
|
|
8
Jat001 OP 1
@EricXuu #7 https://github.com/bilibili-helper/bilibili-helper-o/issues/695 才发现 4 月份就已经有人扒过皮了,然而这人发布的扩展都还在
|
 |
10
jedihy 2020-08-07 03:13:50 +08:00
我举报了。
|
 |
11
youthfire 2020-08-07 03:46:10 +08:00 via iPhone
我也用的这个扩展,但不记得是 Edge 商店还是 Chrome 商店了,看来要自查了,感谢分享
|
 |
12
lekai63 2020-08-07 07:34:13 +08:00 via iPhone
我了个去!
|
 |
13
zvcs 2020-08-07 07:59:20 +08:00 via iPhone
感谢反馈,等下去自查
|
 |
14
RNMNNM 2020-08-07 08:00:30 +08:00
图片看不了
|
 |
15
zxp 2020-08-07 08:11:34 +08:00 4
应该直接向各大广告联盟投诉,对于这种坑广告投放商钱的行为各大广告联盟应该都是 0 容忍的吧。还可以想工商、通管投诉,这些应该都是主管部门。
|
 |
16
whywhywhy 2020-08-07 08:12:41 +08:00
这个……算是黑吃黑吧。。
|
 |
17
westoy 2020-08-07 08:38:51 +08:00
|
 |
18
lechain 2020-08-07 08:44:19 +08:00 via Android
惊呆了,受害者+1
|
 |
19
doveyoung 2020-08-07 09:03:16 +08:00
所以老哥是怎么发现的 - -!
|
 |
21
lovedebug 2020-08-07 09:19:03 +08:00
同被坑,微软审核不严格啊
|
|
23
lovedebug 2020-08-07 09:22:49 +08:00
已帮忙举报
|
 |
24
derekwei 2020-08-07 09:39:58 +08:00
帮忙举报了
|
 |
25
BreadKiller 2020-08-07 09:40:30 +08:00
看来 edge 的商店还是有很多问题,还是直接去 Chrome 商店安装比较好
|
 |
26
Xiaomage2333 2020-08-07 09:49:50 +08:00
中招了 不知道已经多久了 感谢提醒 edge 还是有很多需要做啊
|
 |
27
ferock 2020-08-07 09:53:40 +08:00
感谢,edge 已卸载
|
 |
28
Jevan 2020-08-07 10:19:03 +08:00
已经举报了,前几天发现 egde 商店有这个插件,才换过来的,还以为是官方。
现在换回 Chrome 商店里的了。可怕。 |
 |
29
yevision94 2020-08-07 10:19:43 +08:00
感谢,已经用回谷歌商店的了
|
 |
30
jjianwen68 2020-08-07 10:28:16 +08:00
edge 中的恢复了吗
|
 |
31
515576745 2020-08-07 10:47:14 +08:00 via Android
wocao😅😅
|
 |
32
CodeCodeStudy 2020-08-07 10:49:19 +08:00
还好我不用 Edge 。我用的是 Firefox,自己配置 PAC 。
|
 |
33
pi1ot 2020-08-07 11:03:53 +08:00
安装 edge 时从 chrome 里导入的没问题吧
|
 |
34
irainsoft 2020-08-07 11:09:52 +08:00
|
 |
35
anguiao 2020-08-07 12:54:07 +08:00 via Android 2
我都是去插件的官网或者 GitHub 找链接,里面没有的我就不装了。
|
 |
36
Jooooooooo 2020-08-07 12:57:03 +08:00
这
我也希望我有这种赚钱的思维 |
 |
37
luojianxhlxt 2020-08-07 16:38:39 +08:00
感谢楼主。。。
|
 |
38
winterx 2020-08-07 16:42:16 +08:00
感谢楼主 已卸载
|
 |
39
hoyixi 2020-08-07 19:24:25 +08:00
12~15 年电商开始井喷的时候,干这种劫持还有 stuffing 的很多,有人被判过刑
|
 |
40
Maskeney 2020-08-07 19:29:28 +08:00
感谢楼主提醒
|
 |
41
tanghongkai 2020-08-07 19:42:06 +08:00 1
Proxy SwitchyOmega 官网没有 edge 版,我当时看到就觉得不对劲了
|
 |
42
legend4 2020-08-07 19:54:24 +08:00 via Android 3
无论哪个浏览器,建议用 SmartProxy,SwitchyOmega 已经很久没更新了,主要依赖的 Pac 和那啥 List 都已经被边缘化了,现在的主流 Proxy 都已经内置 DNS+IP 分流了,用 SmartProxy 绰绰有余,而且扩展也是开源的。
|
 |
44
ffflouder 2020-08-07 20:19:29 +08:00 2
在 egde 商店下扩展的时候都会看看开发者是谁,然后去 chrome 商店看看,edge 商店上不少应用的开发者名字看起来挺奇怪的,跟李鬼一样。
|
 |
45
kenvix 2020-08-08 00:25:48 +08:00 via Android
已中招。这也能上架?
|
|
46
Jat001 OP @kenvix #45 chrome 和 edge 的应用商店都是没审核的,给钱就能开通开发者账号、上传扩展,谷歌 25 刀、巨硬 19 刀,firefox 也没审核,但至少不要钱
|
 |
47
RoccoShi 2020-08-08 09:04:17 +08:00
这都能发现 老哥也是人才
|
 |
48
yicong135 2020-08-08 10:11:07 +08:00
要是没看这贴,还不知道
|
 |
49
cye3s 2020-08-08 10:36:12 +08:00
Firefox 扩展站和 github 对比过,一样,没加恶意代码,可以放心
|
 |
50
0312birdzhang 2020-08-08 14:25:53 +08:00 via iPhone
中招+1,感谢分享
|
 |
51
hypogaea 2020-08-08 15:57:15 +08:00
@legend4 求大神详细科普,我看谷歌商店里的更新日期是在 3 月份啊,应该是更新频率没那么高了吧?前阵子的确是看 GFxList 的作者说是暂停更新了,那么那个 DNS+IP 分流该如何判断呢?
|
 |
52
mywaiting 2020-08-08 15:59:25 +08:00
刚想找个这样的导流劫持 js 楼主这就送来了~ 感谢~
|
 |
53
yvkino 2020-08-08 16:09:32 +08:00
感谢
|
 |
54
copymaster 2020-08-08 16:10:23 +08:00 via Android
感谢排雷
|
 |
55
allin1 2020-08-08 16:10:41 +08:00 1
@hypogaea 在 gayhub 找 FelisCatus 。issues 里置顶了,作者自己忙没时间弄了,chrome 那个只是谷歌政策要求更新权限,实际跟 2.5.20 没啥变化。火狐那个还是 2018 年那个 2.5.20 版本,两年没更新了
|
|
57
hypogaea 2020-08-08 16:21:25 +08:00
@allin1 哦哦,好吧,去看了更新日期在 2018 年😂,那 GFxList 有替代品吗?还有就是那个 SmartProxy 靠谱吗?
|
|
58
Jat001 OP @lilydjwg #56 人工解这种程度的混淆比较简单,一个有经验的程序员十几分钟就能搞定,但要搞个自动化程序来识别就比较困难了
|
 |
59
jfdnet 2020-08-08 16:27:51 +08:00
 看起来不能装 edge 商店的 |
 |
60
Ansen 2020-08-08 18:36:37 +08:00 via iPhone
还好我买了 N1 当旁路由
|
 |
61
snw 2020-08-08 22:09:57 +08:00 via Android 1
巨硬真是从来没对商店上心过。很久以前的 WP 商店就是李鬼横行。
|
 |
62
lilydjwg 2020-08-08 23:41:15 +08:00
@Jat001 #58 Mozilla 不推荐混淆,并且要求提供混淆前的代码用于重现。所以实现应该是这样的:程序发现代码经过混淆,转人工,人工没收到混淆前的代码,直接打回去。(当然这是我觉得合理的推测,Mozilla 是怎么实现的我不清楚。)
|
|
64
lilydjwg 2020-08-09 01:42:37 +08:00 via Android
@Jat001 不是我省略了,而是不存在。程序应该只是行为分析,看看调用了些什么 api,有没有很容易发现的违规操作,就跟杀毒软件差不多。不确定的就交给人类。
|
|
65
Jat001 OP @lilydjwg #64 这脚本也没什么特殊行为啊,就是修改页面,很多扩展都会修改页面,甚至一些比价插件也会往页面插入返利网站的链接,靠程序根本没法区分。
我之所以能发现问题,一是有原始代码供对比,二是上传扩展的人明显就是个脚本小子,这些混淆都是用工具生成的,特征太明显了,正常人根本不会这么写代码。但如果是一个程序员想上传恶意扩展呢,都不需要技术多么牛逼,把代码写得跟屎一样就行,再加一堆没用的代码,谁能审核出来,总不能因为代码写得烂就拒绝上架吧  |
|
66
lilydjwg 2020-08-09 09:18:58 +08:00 via Android
@Jat001 混淆就是特殊行为啊。为什么不能因为代码太垃圾就拒绝上架?想对抗审核,最好的策略是故意留下不那么容易发现的 bug 。
|
 |
67
sc104501 2020-08-09 09:38:47 +08:00
受害者+1,感谢楼主
|
 |
68
ryh 2020-08-09 12:23:23 +08:00
at 一下微软的 v 友 @formulahendry
|
|
69
Jat001 OP @lilydjwg 之前不是说了根本没有程序可以区分代码是否用了混淆吗?除了这种特征明显,用公开工具生成的混淆代码。我写一个变量和函数名全是用拼音,冗余代码一堆,完全没有代码复用,全是复制粘贴,就算放 github 上也没人想看的那种代码,这算不算混淆?有任何规定说代码写的烂不允许上架吗?你确定这样搞能触发人工审核吗?而且我都怀疑 Mozilla 有那人力搞人工审核吗?
杀毒软件不也是靠特征码,比如我写个程序上传用户数据到我自己的服务器,杀毒软件能做的无非是在程序访问敏感文件的时候拦截,最终判断还是交给用户,但用户也不知道程序访问文件是否正常啊,比如搜索程序访问文件是很正常的行为,但要是这搜索程序还附带偷偷上传文件的功能呢?另外像用到了 p2p 技术的下载软件和网盘程序,读取文件并上传大量数据都是很正常的行为,如何把这种程序跟故意上传用户隐私的程序区分开呢? 说到底,这种连普通用户都无法区分的行为,不要指望靠机器来识别。无论是浏览器扩展的应用商店还是手机 app 的应用商店,都没有那么多人力来人工审核代码,现在大家做的无非就是细化各种权限,最终交给用户来决定是否给予相应的权限。 |
|
70
lilydjwg 2020-08-10 00:46:01 +08:00 via Android
@Jat001 原来你在纠结这个。ml 一个分类器就可以搞定常见的工具了,简单的直接抓 eval 也不是不可以。当然精心设计的不容易抓到,但那种的成本也高。
|
|
71
lilydjwg 2020-08-10 00:53:53 +08:00 via Android 1
@Jat001 另外是有规定看不懂的烂代码不允许上架的:「 Code is considered obfuscated if the logic and meaning is transformed in a way intended to make it difficult for a human to understand or reverse-engineer.」
|
|
72
Jat001 OP @lilydjwg #70 我不是纠结这个,我是想说人工审核的成本太高了,连谷歌和微软都没能力搞的事情,mozilla 也没能力搞。而且为啥要直接写 eval 给人抓现行呢,来看看高手怎么玩的
 当然,这里的 jquery 是被人魔改后的,490837..toString(32) 估计也不是这个人发明的 |
 |
76
maketime4life 2020-08-10 11:05:26 +08:00
幸好我装的是 Chrome Web Store 里的
|
|
77
maketime4life 2020-08-10 11:06:53 +08:00
作者都不一样啊,稍微注意点就不会安装
|
|
78
youthfire 2020-08-10 11:12:29 +08:00
感谢,已经把 edge 商店所有扩展换为 Chrome 商店里的
|
|
79
Jat001 OP @lilydjwg 点开图片就能看到大图,可以放大的,一点也不糊
你不会真的以为 Mozilla 会雇一堆工程师一行行审核代码吧,比如这个扩展,在没有原始代码的情况下,一个个文件找要多久。我估计那些审核都是黑盒的,不可能一行行审计代码 |
 |
80
okampfer 2020-08-10 20:00:38 +08:00
LZ 厉害!
从 Chrome 商店安装是安全了,但问题是同步这些扩展就需要翻 qiang 了。 |
 |
81
T0m008 2020-08-10 21:41:12 +08:00
edge 可以直接安装 chrome 商店里的应用
|
|
82
Jat001 OP @lilydjwg #74 https://addons.mozilla.org/zh-CN/firefox/addon/proxy-switchyomega/ 我把这扩展原原本本地传到了 firefox 的商店,事实证明 mozilla 的审核也发现不了恶意脚本
自动审核只发现了两个无关痛痒的问题:一个是 manifest.json 里的 permissions 有重复字段,这是恶意扩展另加的,估计是复制粘贴过来也没看,删掉重复的就好;另一个是 angular 的版本太低,这个是原本就有的,这自动审核也只是检测注释里的版本号,删掉注释就过了  昨天上传的,今天就通过了,这也印证了我的想法,所谓人工审核就是黑盒测试,能用就给过,根本不会检测恶意代码 |
|
83
Jat001 OP @youthfire #78 没必要换所有的啊……官方有上传到 edge 商店就用 edge 商店的,不确定是官方上传的再换啊
|
 |
86
mxT52CRuqR6o5 2020-08-11 08:48:23 +08:00 via Android
@Jat001 也许是恶意程度不够呢,再提高恶意试试看
|
 |
88
xuejianxianzun 2020-08-11 10:47:50 +08:00
@Jat001 都是要审核的呀。我在 edge 发布扩展没有交钱(或者是忘了?)。谷歌是交钱了,而且谷歌审核最慢,还封禁过我的扩展和开发者账号,好气。
|
|
89
xuejianxianzun 2020-08-11 10:51:50 +08:00
我的扩展以前发到火狐的时候,要在一个单独的区域提供所有第三方库的原始链接,虽然我尽量做了但最后还是因为这个原因被下架了,我就没再传了。
|
|
90
xuejianxianzun 2020-08-11 10:56:27 +08:00
谷歌的审核还是挺严的,我的扩展在用户要求下加了个功能,就是点击扩展按钮跳转到一个网站(我的扩展是为那个网站设计的),结果上传之后就扩展和开发者账号都被封了。
后来我重新注册账号重新发了扩展,去掉了这个功能。然后每次更新都有很大概率跟我说权限问题不给我过审。我就纳闷了,看看商店里那几个同类型扩展个个权限都不比我少,它们是怎么更新的?现在我害怕再被封所以谷歌商店的很久没传过新版本了。 现在我的扩展一万多用户了,在搜索结果里一些几百用户的扩展还排在我头上,可能因为它们发布的早吧。谷歌真是坑爹 |
 |
91
fluffyfoxxo 2020-08-11 17:50:22 +08:00
@maketime4life 问题在于如果使用「导入浏览器数据」功能从 Chrome 中导入扩展,Edge 就会优先从自己的商店安装名字与 Chrome 商店相同的扩展,自己的商店没有再从 Chrome 商店安装。我中招了两个,都是来自这个作者。
|
|
92
Jat001 OP @mxT52CRuqR6o5 #86 都说了是黑盒测试,不是恶意程度的问题,而是恶意行为是否容易发现
@xuejianxianzun #88 审核功能跟审查代码是两回事,edge 肯定是要交钱的,不然开发者账号都不给开通 @xuejianxianzun #89 倒没遇到过要求提供链接的情况 @xuejianxianzun #90 现在新上架 chrome 商店的扩展,不是要对每项权限写详细说明吗 |
|
93
Jat001 OP @xuejianxianzun #88 是我记错了,edge 商店不要钱,microsoft 商店要钱
|
 |
94
mengqi 2020-08-11 19:38:26 +08:00
Proxy SwitchyOmega 已经下架了
|
|
95
Jat001 OP @mengqi #94 是的,但这人( edge ext )上传的其他恶意扩展仍旧在 https://microsoftedge.microsoft.com/addons/search/edge%20ext
|
 |
96
sdxlh007 2020-08-12 14:31:35 +08:00
怪不得之前设置中文名的规则时,会给我乱码,再给我一个正常中文的规则。。。我以为是个 bug 呢
|
 |
97
zilaijuan 2020-08-12 17:15:26 +08:00 via Android
今天重装完系统,怎么都搜不到这个插件,原来是个李鬼,被举报下线了。
|
 |
98
johnnyhull 2020-08-14 08:04:18 +08:00 via iPhone
chrome 商店没这个问题吧,昨天刚装
|
 |
99
LANB0 2020-08-14 10:02:42 +08:00
好奇现在这个插件还有什么用?酸酸乳和 V2 不是自带 pac 的吗
|
 |
100
F0nebula 2020-08-20 09:45:28 +08:00
@lilydjwg #74
@Jat001 #82 现在只有 Recommended Extension 才会人工审核 Is the extension safe? Firefox is committed to helping protect you against third party software that may inadvertently compromise your data—or worse—breach your privacy with malicious intent. Before an extension receives Recommended status, it undergoes rigorous technical review by staff security experts. src: https://support.mozilla.org/en-US/kb/recommended-extensions-program |
Select Language