全球主机交流论坛

标题: 再次提醒：谨慎安装Chrome任何插件 [打印本页]

作者: 会翻车吗 时间: 2024-7-10 21:17
标题: 再次提醒：谨慎安装Chrome任何插件
RiverRay：

前端老鸟都知道一个常识

谷歌浏览器里面是拿不到真实 CPU 和硬件信息的

（：UA 那个很容易伪造好吧

今天再给你一个反常识：

其实，Chromium 内置了一个系统级插件。

这个插件允许 *.google.com 网站获取宿主机 CPU 信息

去 Chromium 源码里找找，发现插件 ID 是：nkeimhogjdpnpccoofpliimaahmaaome 。

而且，这个插件还能对外通信

so ，骚操作来了

我们可以随便打开一个 Google 的网站在 console 里面输入：

chrome.runtime.sendMessage('nkeimhogjdpnpccoofpliimaahmaaome',
{method: 'cpu.getInfo'},
response => console.table(response));
CPU 、进程还有负载一五一十的就有了

看源代码，这个内置插件里面还暴露了不少其他方法，可以自己探索玩玩

说人话：

如果你做的是浏览器扩展，完全可以获取到宿主机的 CPU 还有其他硬件信息的

哈哈哈哈哈

作者: 千牛 时间: 2024-7-10 21:19
不止呢，插件可以完全获取cookie，并上传所有cookie，偷账号信息

作者: xqz 时间: 2024-7-10 21:21
楼主，隔壁抄的吧

作者: 卡尔 时间: 2024-7-10 21:22
66666666666666 涨知识了

作者: 六兄弟论坛 时间: 2024-7-10 21:32
提示: 作者被禁止或删除内容自动屏蔽

作者: 梅东 时间: 2024-7-10 21:34
用google产品就默认不需要隐私了

作者: youhei 时间: 2024-7-10 22:10
还可以偷cookie呢，拦截请求呢

作者: Romeoiii 时间: 2024-7-10 23:03
不是任何扩展都能媲美谷歌的内置后门，你没说到重点。

作者: 埃隆马斯克 时间: 2024-7-10 23:07
楼主这个

作者: Romeoiii 时间: 2024-7-10 23:08
https://news.ycombinator.com/item?id=40918052

https://x.com/simonw/status/1810731216796324080

https://simonwillison.net/2024/Jul/9/hangout_servicesthunkjs/

他们说的才是重点，其它垃圾木马扩展要成功上架商店比较困难。

没上架的第三方不知名扩展才是值得小心注意的，但是浏览器应该也会提示它是否安全，或者想办法去检测，总之不安装第三方插件基本上没事。

还有一点，油猴脚本也能窃取隐私，安装的时候建议审查代码或者丢给AI让它去帮忙审查。

作者: 马克思和赵子龙 时间: 2024-7-11 00:06
在别的论坛上看到一种说法，有的团伙先收购一个有用户量正常插件，然后更新加入恶意代码。最后盗取用户虚拟货币

作者: icesky 时间: 2024-7-11 00:08
宁愿用谷歌啊，难道谷歌会派人来半夜社区送温暖

作者: Telegramr 时间: 2024-7-11 09:23
会不会是 CIA 开发的这个插件？

欢迎光临全球主机交流论坛 (https://hostloc.gdisk.cf/)