PCWorld报道了一款名为“新管理层”(Under New Management)的新Chrome扩展程序,它能在用户已安装的扩展程序更换开发者或所有权时发出警报。这款安全工具旨在应对日益严重的问题:受欢迎的Chrome扩展程序被出售后,会通过静默更新植入恶意代码以劫持网络流量。开发者马特·弗里斯比(Matt Frisbie)已将该扩展程序的代码公开在GitHub上,帮助不具备编程技能的用户保护自己免受被入侵的浏览器扩展程序的侵害。
昨天,我报道了一款我个人使用多年的Chrome扩展程序,它(据推测)被出售并开始劫持我的网络流量。我感叹谷歌似乎特别容易受到这种伎俩的影响:一个受欢迎的扩展程序更换所有权后,通过静默更新来绕过Chrome网上应用商店的保护机制。至少有一个扩展程序正试图解决这个问题。
ClassVSoftware开发的“新管理层”会定期检查你当前安装的扩展程序,并在其中任何一个在Chrome网上应用商店的开发者信息发生变更时提醒你。(这应该也适用于其他基于Chromium的浏览器,例如Vivaldi,它在昨天谷歌关闭该问题扩展程序后也将其移除了。)一个闪烁的按钮会显示哪个扩展程序受到了影响以及哪些信息发生了变化。
“但是,迈克尔,”我仿佛听到一位假设的、非常善解人意的读者说,“怎么能阻止这个扩展程序自己玩同样的把戏呢?如果它一旦流行起来,也被卖给坏人,自己就变得不可靠了怎么办?”哦,很高兴你这么问。
一方面,根据网站信息,开发者似乎是一位名叫马特·弗里斯比的个人。鉴于该扩展程序的性质和用户数量——截至撰稿时为9000名——“新管理层”似乎还不会成为同类“诱饵调包”手法的目标,至少目前如此。一些先前受影响的扩展程序下载量超过100万次。
或许更重要的是,弗里斯比已经将该扩展程序的代码发布到了GitHub上。任何具备编程能力的人都可以将Chrome网上应用商店上的扩展程序版本与已发布的代码进行比较,以确保没有猫腻。
正如昨天所证明的,在浏览器(或个人电脑、手机、游戏机、智能烤面包机)上安装任何软件都存在一定程度的风险——这个教训让我突然对推荐浏览器扩展程序变得谨慎起来。但对于不太懂代码的用户来说,这个扩展程序似乎是一个能带来些许安心感的好方法。
