Chrome擴展捕獲被劫持用戶的搜索引擎結果

谷歌昨日從其官方網站上刪除了Chrome瀏覽器的擴展，因為它秘密劫持了搜索引擎查詢，并將用戶重定向到充斥著廣告的搜索結果。

擴展名是“Youtube隊列”。當它從網絡商店中刪除時，已經安裝了近7000個用戶。

這個擴展允許用戶按照他們想要的順序排隊觀看YouTube上的多個視頻。

但在引擎的兜帽下，它還攔截搜索引擎查詢，通過Croowila URL重定向查詢，然后將用戶重定向到一個名為Information Vine的自定義搜索引擎。搜索引擎列出了相同的谷歌搜索結果，但填充了大量廣告和相關鏈接。

大約兩周前，用戶開始注意到延伸的可疑行為。當時第一篇報道出現在Reddit上，幾天后又出現了兩次。

昨天，在微軟邊緣工程師(也是前谷歌Chrome開發者)指出擴展搜索引擎劫持了推特上的功能后，該擴展被從在線商店中刪除。

勞倫斯說，擴展的可疑代碼只在ChromeWebStore上列出的版本中找到，而不是在擴展的GitHub存儲庫中。

在接受注冊中心采訪時，擴展的開發者聲稱自己沒有參與其中，他將擴展出售給了一個名為Softools的實體，這是一個著名的網絡應用平臺。

在對登記冊的后續查詢中，Softools否認與擴展開發有任何關系，更不用說惡意代碼了。

惡意實體主動提出購買Chrome擴展，然后在源代碼中添加惡意代碼，這并不是什么新鮮事。

這些事件最早出現在2014年，2017年，一個不知名的一方購買了三個合法擴展(YouTube、打字機聲音和twitch mini player)，并重新使用它們在熱門網站上注入廣告。

在2017年的一條推文中，DuckGo的軟件工程師Konrad Dzwinel說，他通常每周都會收到關于出售他的擴展的詢問。

我每周都會收到這樣的建議。他們還提供了大量的資金。

在2019年2月的一篇博客文章中，反病毒制造商卡巴斯基警告用戶，在瀏覽器上安裝該擴展之前，請進行一些研究，以確保該擴展不會被劫持或出售。

開發人員在不通知用戶的情況下悄悄出售他們的擴展，開發人員熱衷于搜索Chrome在線商店賬戶。目前，惡意軟件團伙通過這兩種方法接管合法的Chrome擴展，將惡意代碼植入用戶瀏覽器。

此外，勞倫斯指出，將YouTube隊列擴展為流氓就是一個很好的例子，這表明惡意威脅參與者濫用Web請求API做壞事。

這是一個大多數廣告攔截器都在使用的API，也是谷歌試圖用一個更短的名為聲明式Web請求API的API來替代的API。

[ALT text:瀏覽器擴展濫用webRequestBlockAPI，將用戶的搜索查詢從HTTPS網站重定向到使用不安全HTTP廣告的意外搜索引擎。]

這一變化引發了最近關于“谷歌殺死廣告攔截者”的公開討論。

然而，谷歌上周表示，自2018年1月以來，谷歌在Chrome網站上檢測到的所有惡意擴展中，有42%以某種方式濫用了Web請求API——YouTube的隊列擴展就是一個例子。

在另一篇推特帖子中，Chrome安全工程師Justin Schuh再次指出，谷歌更換舊的web請求api的主要目的是為了推動隱私和安全，而不是其他任何東西，比如性能或廣告攔截。谷歌也在上周的一篇博客文章中正式聲明了這一點。

Chrome在這一點上的立場非常一致。是的，通過Web請求的聲明性網絡請求具有非常真實的性能優勢，但是主要的動機一直是通過擴大它們需要的訪問范圍來提高安全性和隱私性。