Как искать во всех расширениях Chrome опасный unsafe-eval

Попробуйте наш инструмент устранения неполадок

В этом руководстве я покажу вам, как можно найти во всех установленных расширениях Chrome опасную политику безопасности небезопасного содержимого. Этот метод также может работать с расширениями, установленными в других браузерах, при условии, что файлы расширений читаются в виде обычного текста.

На прошлой неделе в новостях попал новый скандал, связанный с рядом расширений, которые записывают и продают данные о просмотрах пользователей. На этот раз пострадали более 4 миллионов установок браузера, и это была последняя из серии проблем, связанных с конфиденциальностью, связанных с теневыми расширениями браузера.

Расширения в вопросах использовали хорошо задокументированы Директива политики безопасности контента называется unsafe-eval для загрузки удаленных полезных данных и начала сбора и передачи данных просмотра.

Расширения Chrome должны объявлять unsafe-eval в манифесте расширения, чтобы использовать его. Интернет-магазин Chrome не выделяет использование, и расширения чистые в противном случае, когда они загружаются в магазин разработчиком.

Раймонд Хилл, разработчик uBlock Origin описано проблема, связанная с этими вредоносными расширениями, которые загружали полезную нагрузку в пользовательскую систему после установки следующим образом:

Чтобы расширение могло выполнять удаленный код в своем собственном контексте, им необходимо явно объявить `unsafe-eval` в своем manifest.json.

Другими словами: эти расширения объявили unsafe-eval, чтобы они могли загрузить полезную нагрузку в более поздний момент времени.

Хилл рекомендует пользователям избегать любых расширений, объявляющих unsafe-eval; однако это требует, чтобы пользователи проверяли файл манифеста расширения, прежде чем нажимать кнопку «добавить в Chrome».

chrome extensions unsafe-eval

Мы опубликовали Руководство по проверке расширений Chrome в 2015 г. - хороший ресурс для проверки любого расширения Интернет-магазина Chrome перед установкой.

Вот краткий обзор, поскольку вы, возможно, не захотите читать полное руководство.

  1. Загрузите Программа просмотра расширений Chrome расширение.
  2. Откройте страницу профиля расширения, которое хотите проверить.
  3. Щелкните значок CRX расширения Chrome Extension Source Viewer и выберите «Просмотреть исходный код».
  4. Выберите файл manifest.json и проверьте наличие небезопасного eval, например используя F3, чтобы открыть поиск на странице.

А как насчет установленных расширений?

chrome extensions search

Хотя вы можете открыть файл manifest.json каждого из установленных расширений, чтобы узнать, использовалось ли какое-либо объявление unsafe-eval, вы также можете выполнить поиск по всем из них одновременно, чтобы ускорить процесс.

Вот как это делается:

  1. Загрузите отличный инструмент «Все» в вашу систему. Вы также можете использовать другие текстовые редакторы, поддерживающие поиск по содержимому файла, например UltraSearch или Notepad ++ ,
  2. Запустите программу, щелкнув ее правой кнопкой мыши и выбрав «Запуск от имени администратора».
  3. Выберите Поиск> Расширенный поиск.
  4. Введите unsafe-eval в поле 'Слово или фраза в файле'.
  5. Выберите диск c: (или аналогичный в вашей системе) или сразу выберите каталог расширений.
    1. Чтобы найти путь, загрузите chrome: // version / в адресную строку.
    2. Скопируйте значение пути к профилю, например C: Users Martin AppData Local Google Chrome User Data Profile 1
    3. Вставьте его в поле 'находится в'.
  6. Убедитесь, что выбран параметр «включить подпапки».
  7. Хит ок.

Все ищет выбранную фразу во всей структуре папок и во всех файлах. Сосредоточьтесь на файлах manifest.json и дважды щелкните их, чтобы открыть в текстовом редакторе по умолчанию. Используйте встроенный поиск, чтобы найти unsafe-eval, чтобы проверить результат.

Тот же метод должен работать для большинства других браузеров.

Теперь ваша очередь : вы проверяете расширения перед их установкой?