微軟的Edge瀏覽器在放棄自己的引擎,改用谷歌開(kāi)源的Chromium核心之后,已經(jīng)成為微軟瀏覽器翻身之作,目前已經(jīng)是第二大了,僅次于正牌Chrome。
Edge瀏覽器優(yōu)點(diǎn)多多,兼容Chrome的插件就是最具吸引力的地方,而且微軟的應(yīng)用商店國(guó)內(nèi)可以正常訪(fǎng)問(wèn),所以不少人去微軟官方下載插件,擴(kuò)展Edge功能。
Chrome的一些知名插件在Edge上也很受歡迎,比如Proxy SwitchyOmega,很多人也直接從微軟官方商店下載了,然后問(wèn)題來(lái)了,Edge版的Proxy SwitchyOmega竟然是李鬼。
雖然Proxy SwitchyOmega的功能可以正常使用,但是上傳者別有用心加入了其他代碼,V2EX上已經(jīng)有大神做了分析,對(duì)比發(fā)現(xiàn)background.html 里多引了一個(gè)腳本 js/pic.js。
這個(gè)李鬼版插件的作者很狡猾,將腳本隱藏為一個(gè)PNG圖像文件,很多人都不可能注意到其中的問(wèn)題。
簡(jiǎn)單來(lái)說(shuō),現(xiàn)在這個(gè)李鬼插件會(huì)加載商品返利代碼,用戶(hù)購(gòu)物的時(shí)候不知不覺(jué)中使用了這個(gè)頁(yè)面下單,李鬼插件的作者就會(huì)獲得分成。
如果只是返利還好說(shuō),其實(shí)插件中被人加了別的代碼,遠(yuǎn)程控制都是有可能的。
事實(shí)上,這也不是第一次有人曝出Edge商店的Proxy SwitchyOmega插件有惡意代碼了,早前看微軟頁(yè)面評(píng)論就有人提到過(guò),不過(guò)現(xiàn)在看評(píng)論好像都沒(méi)了。
也不止是這一個(gè)插件有問(wèn)題,新版Edge瀏覽器支持Chrome版插件以來(lái),已經(jīng)有多款插件曝出過(guò)類(lèi)似的問(wèn)題了,都是插件被加入了惡意代碼。
在這件事上,微軟官方的Edge商店審核不嚴(yán)還是關(guān)鍵啊,不僅因?yàn)榧嫒軨hrome,省事了就放下不管了。
