开发者亲述:个人Chrome插件被黑之后,我的应急过程全记录

本文讲的是开发者亲述:个人Chrome插件被黑之后,我的应急过程全记录编者按:Chrome浏览器长期以安全著称,但它也有软肋,就是插件和扩展。Chrome插件和扩展有着极高的权限,但安全主要靠开发者自己把关,Google较少参与。在过去,曾经爆出多次插件/扩展被黑导致Chrome用户信息被劫持的事件。

最近,国人开发的知名插件“Infinity New Tab”因为开发者账号被盗,导致插件被劫持加入了弹窗广告,reddit、知乎上均有用户反馈。插件开发者发现后紧急处理解决了问题。他们分析了黑客添加的代码,比较庆幸这次只有弹窗广告,没有窃取信息或推送病毒。以下为“Infinity New Tab”开发者gh guang放出的事件处理经过,其中有许多可供参考的关键点信息,嘶吼加粗显示。

首先跟infinitynewtab的用户说声对不起,由于我们太愚蠢,导致账户被盗,给大家的使用带来不便了。黑客主要在代码中加入了弹窗广告,除此之外没有任何的影响,没有盗号,没有病毒。

好了,下面我们来说说这次事件的经过:

5月29号已经更新到6.0的版本,可以放心使用,如果版本低于6.0,赶紧更新到6.0的版本

下面就来说说这次事件的经过。

5月26号(星期五晚上)

gmail 邮箱突然收到一封邮件,大概看了一下,说是infinitynewtab被chrome 商店删除了,一看到这个邮件心里面就着急了啊。看到邮件中有个链接,说是查看被删的原因,就是违反了Google隐私政策的原因。当时太着急了,太着急了,太着急了,导致于做出了如此愚蠢的行为,一路点过去,输入账号跟密码。结果。。。账户就被盗了。但是,当天晚上并没有发现不对,而是心里在想,为啥被Google 商店移除了。违法了那条政策。去看Google商店也没被删除,心里当时想着,难道有延迟吗,就想着第二天好好研究下Google隐私政策。遂睡。邮件截图:

5月27号早上9点(星期六)

大早上,一起来,登陆开发者账号,进入后台页面,一看版本号怎么变成3.12.22了,本来3点几是作为目前正在开发的新版的版本号,突然感觉不对劲,再回到邮件仔细怎么是chromewebstore.pro这个域名 ,再把这次3.12.22的版本下载下来看,里面怎么多了一个alert10.js的文件,卧槽,这下可惨了。确定账户被盗无疑了。于是赶紧把密码改了。然后在进去后台,发现黑客又在发布3.12.5的版本,赶紧点了取消发布。这已取消发布,就显示正在等待Google审核。如图:

取消发布后,发现肯定是黑客发现了infinitynewtab@gmail.com 这个邮件和开发者账户绑定到一起,于是把后台的邮件改成infinity@infinitynewtab.com了,防止别人再来给我们发钓鱼邮件,当然经过这次事件后,以后开发这账户要单独用一个,保证安全

回过头来,再看看这个alert10.js文件。

分析一下这个alert10.js,生成了一个年月的md5值,而且每隔一个小时就会弹窗一次,弹窗的内容就是如图:

点击确定就会跳到md5生成的这个链接,再去查这个链接

发现这个域名是从namecheap购买的。于是乎赶紧联系namecheap的客服,说明情况后,namecheap把这个域名给封了

5月27号11点

赶紧联系Google的人,找邮件,发邮件。

邮件发出去了,却没有任何音讯。今天tmd 周六,Google不上班。

于是乎,给用户发通知,和找Google的联系方式。

临时做了一个简陋的告知信息页面 (关于黑客入侵),让用户卸载3.12.22的版本,从官网下载2.xx的离线版本。(可能有很多用户没收到通知,再给大家道歉)

另一方面,找Google的工作人员,最后在知乎上找到了Google的工作人员,愿意帮我们发内部邮件。自己写了一封英文邮件,他帮忙转发。

在此感谢知乎这个平台。感谢帮助的人。然后进入等待中。。。。。

5月29号下午(星期一)

不断刷新后台看Google的审核状态。Google审核通过了,是把之前黑客发布的3.12.25的版本通过了,赶紧把准备的正常版本6.0,发布上去,用6.0的版本替换3.12.25的版本,这里再说明下,很多用户可能又从2.xx的版本或者3.12.22的版本升级到了3.12.25的版本,导致很多用户产生了误解,说升级后还有弹窗,因为3.12.25的版本也是黑客发布的。如果你还是3.12.22或者3.12.25的版本,请及时更新到6.0的版本。

到此事件告一段落,再次给大家说声抱歉了,由于我们的大意,给大家的使用带来不便了。

另外,大家以后上网也要保护好自己账户的安全,现在钓鱼邮件太多,陌生人发的邮件链接,千万不要随便点,陌生人发的邮件链接,千万不要随便点,陌生人发的邮件链接,千万不要随便点。

最后再次感谢大家对infinitynewtab的支持。

原文发布时间为:2017年5月31日

本文作者:longye 

本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

原文链接

时间: 2024-10-04 15:29:53

开发者亲述:个人Chrome插件被黑之后,我的应急过程全记录的相关文章

chrome插件远程加载js

chrome插件将js直接注入页面有两种方式,一种是通过Manifest文件中指定js文件,一种是通过chrome.tab.executeScript方式注入.具体可以参考这个官方文档. 由于各种需求,需要将部分js从后端服务器中进行加载.所以只能通过tab.executeScript的方式.具体函数的定义,可以参考官方文档.大致就是能够给定一个文件或者一段代码,在指定的tab中运行. 首先,这个函数必须在background中执行,页面中的content-script本身,是没有权限调用chr

【技术干货】驻云前端工程师带你初步了解chrome插件的开发

.. 本文作者:上海驻云Web前端工程师                  (只爱扎啤跟撸串的骚年)        施  翔 以下正文 ​ 随着互联网行业的崛起,网络已经成为人们生活工作时不可缺少的一部分,最直接的接触互联网的方式就是通过浏览器上网.随之而来的是用户对浏览器提出了越来越高的要求,换而言之就是对 web 的需求不断提升,单纯的浏览器已经不够满足某些场景的需要. 为了扩展浏览器的功能,形形色色的浏览器插件应运而生.比如 ie 各种内置搜索引擎,firefox 的 firebug,ch

谷歌下架两款Chrome插件因其内置广告代码

1月20日,据<华尔街日报>报道,谷歌从Chrome网页应用商店中下架了两款Chrome插件,因为这两款软件违反谷歌服务条款,内置了广告代码. 被移除的两款软件为"Add to Feedly"和"Tweet This Page",这两款应用的用户都不足10万.此前,有用户抱怨称,他们发现这两款软件会推送惹人讨厌的广告,其中有用户将"Add to Feedly"称之为"垃圾邮件",在用户所访问的任意网站上都会冒出广告

雅虎Axis Chrome插件现安全漏洞已禁用

[搜狐IT消息]北京时间5月24日消息,据国外媒体报道,在开发者报告安全漏洞后,雅虎已经禁用了Axis浏览器的Chrome插件.雅虎发言人发表声明称:"雅虎非常关注在线安全问题.我们 刚刚收到Yahoo! Axis on Chrome漏洞报告,我们立即禁用了这款插件.我们正在处理问题, 预计很快 就会修复漏洞."此外,雅虎Axis开发团队也发表了声明:"发现这个问题后,我们立即撤下这款Chrome插件.升级版Chrome插件将在30分钟内发布."开发者尼克•库伯利洛

Chrome——我的Chrome插件

           今天早上看了极客头条的一篇关于Chrome插件的文章:http://geek.csdn.net/news/detail/56570  .感觉很多有用的web 开发者常用插件没有在里面.所以自己在此贴出自己的chrome插件,给大家看看.          PS:要科学合理正确的上网,才能在Chrome里面获取更多扩展程序.         不说啦,下面上图:                                                           

利用chrome插件批量读取浏览器页面内容并写入数据库

试想一下,如果每天要收集100页网页数据甚至更多.如果采用人工收集会吐血,用程序去收集也就成为一个不二的选择.首先肯定会想到说用java.php.C#等高级语言,但这偏偏又有个登陆和验证码,搞到无所适从.还在为收集web端的数据感到苦恼吗?很高兴,你找对地方了. 应用场景: 1.需要每天大量重复收集web端的数据 2.web页面数据需要登陆后才能采集 3.web页面存在翻页 解决方案: 手工登陆,然后采用chrome插件的方式进行收集.当然你会说用selenium等自动化测试的方法进行收集更co

网页开发者的20款FIREFOX插件

  本文集合了20款为开发者而生的优质插件,在这些插件的帮助下,网页开发者可以创造出令人惊艳.极富创意的网站页面.接下来,让我们一起看看这些插件吧. 1. Firebug 作为开发领域最著名的插件,Firebug可以让你在浏览器重实时运行HTML.CSS等代码.Firebug内置有强大的Javascript调试工具,可以让你随时暂停JS动画,观察静态的细节.如果你觉得效果比较生硬,你还可以使用JS分析器来分析校准,找到症结所在. 2. Ghostery Ghostery是用来检测"隐形网站&qu

有哪些强大好用、鲜为人知的CHROME插件?

  提高工作效率好帮手!今天贝尼同学将自己的私人珍藏分享出来,从配色方案到搜图搜资源,都有超方便的Chrome插件能帮设计师们事半功倍搞定工作,最后还有小编呕血推荐的一款超方便的免费科学上网插件(你懂的),千万低调地马克呦! ColorZilla(颜色工具) 这款插件我最常用是用它来吸网页里的颜色,无论是页面css渲染的颜色还是图片(或canvas)的颜色都能够采集到,并且能够设置颜色的格式(RGB,HSL,Hex).每次你采集完后,它会根据你的设置自动吧颜色信息存到剪贴板,你只需要进入设计软件

chrome插件-将.crx文件改成.zip文件后导致插件无法正常工作,这是什么原因?

问题描述 将.crx文件改成.zip文件后导致插件无法正常工作,这是什么原因? 最近在学习chrom插件,于是下载了一个chrome插件源码,是.crx文件,直接将它拖入chrome://extensions/安装后功能正常,为了研究它的源码,我将.crx文件改成.zip文件解压,这次我通过路径加载已解压的文件,插件却无法正常工作,这是什么原因?前端小白,求大神指点.