Instantly share code, notes, and snippets.

Embed
What would you like to do?
拡張機能、live http headers, http headersにポリシー違反の挙動があります。
https://gist.github.com/mala/e87973df5029d96c9269d9431fcef5cb
https://chrome.google.com/webstore/detail/live-http-headers/iaiioopjkcekapmldfgbebdclcnpgnlo
https://chrome.google.com/webstore/detail/http-headers/mhbpoeinkhpajikalhfpjjafpfgjnmgk
- 拡張機能の background js に対して、難読化されたscriptが埋め込まれています。
- webサイトに対して(chrome.tabs.executeScript) 外部のjsコードを挿入します。この機能はユーザーに対しては説明されていません。
- webサイトに対して実行されるscriptは、少なくとも広告やURLのtrackingが含まれています。サイトによって挙動が変わったり、後から変更される可能性があります。
- setTimeoutによって非常に長い時間(24時間以上) 経過した後に有効化されています。
- WebRequestBlocking permissionを持っているものは、webサイトのcontent security policyを無効化して外部scriptを埋め込もうとします。
- 明確な理由があってCSPを緩和するextensionは存在しますが、これらのextensionはユーザーに説明のない外部scriptを実行するためにCSPを無効化しています。
Storeのポリシーに違反しています。
https://developer.chrome.com/webstore/program_policies
"We don't allow content that harms or interferes with the operation of the networks, servers, or other infrastructure of Google or any third-parties."
また、unwanted softwareに該当します。
https://www.google.com/about/company/unwanted-software-policy.html
同様の処理がある拡張機能がchrome web store上に多く存在しており、埋め込み方法は2パターンあるようです。
1. ライブラリの中に難読化されて埋め込まれているもの
2. 画像の中に難読化されたscriptが埋め込まれているもの
1は例えば jquery.check jquery.proceedといったjqueryに本来含まれない関数が定義されています。String.fromCharCode(77 といった文字列が含まれます。
いくつかは既にStoreから削除されているため、既に把握しているものと思われます。他のユーザーからも報告を受けているかもしれません。
2は 2016-10-17頃から、画像の中にscriptを埋め込んだパターンが存在しています。画像の中にscriptを含むものは、まだ一件も削除されていないようでした。
拡張機能のid 難読化されたscriptの箇所
cppogeekogbladboceekjeiibihnkbhp /background.js
djehnnkolaffgleiohkcihdidklccenm /javascript/bg.js
dohgmlmaonfhddeefenfncfpjohcccji /javascript/bg.js
gejijbmhbanhbllpkhfojmimfolkjgdl /background.js
hcamnijgggppihioleoenjmlnakejdph /background.js
lffebcpgjecadnkcmdcgklbnphfdjbck /background.js
lijcedcpkmbmjdpjegneggdablbhjedi /js/bg.js
mkghdinlmbahglnpjamcodaopnofelnn /js/bg.js
mladplminmaeehnobobpodnccpiglice /bg.js
nfgiacdbmgamojpbkoleplcghganhccj /js/background.js
http headers, live http headersの他に、まだダウンロード可能な状態になっている拡張機能です。
同様の難読化コードが含まれています。
https://chrome.google.com/webstore/detail/send-to-google-drive/cppogeekogbladboceekjeiibihnkbhp
https://chrome.google.com/webstore/detail/incognito-url-filter/dbocoplmoaeojcdfbmbncbafijndaceg
https://chrome.google.com/webstore/detail/twich-extended-styler/djehnnkolaffgleiohkcihdidklccenm
https://chrome.google.com/webstore/detail/twit-extended-styler/dohgmlmaonfhddeefenfncfpjohcccji
https://chrome.google.com/webstore/detail/goodness/ekdgbodaoampohmhmecigaomnjppbplb
https://chrome.google.com/webstore/detail/full-screen-flash/gejijbmhbanhbllpkhfojmimfolkjgdl
https://chrome.google.com/webstore/detail/rss-live-links/hcamnijgggppihioleoenjmlnakejdph
https://chrome.google.com/webstore/detail/twich-styler/iffelgpahnjlmpcjoepmlekilchdafoh
https://chrome.google.com/webstore/detail/facebook-downloader/imjckgbcnhnaklbhkghpoknchgopcjai
https://chrome.google.com/webstore/detail/tab-manager/kfceacbhaclghcgffdegggjbocdkclpe
https://chrome.google.com/webstore/detail/oweb-voice-input/lffebcpgjecadnkcmdcgklbnphfdjbck
https://chrome.google.com/webstore/detail/see-you-later/lijcedcpkmbmjdpjegneggdablbhjedi
https://chrome.google.com/webstore/detail/fb-appearance-customizer/mkghdinlmbahglnpjamcodaopnofelnn
https://chrome.google.com/webstore/detail/currency-converter/mladplminmaeehnobobpodnccpiglice
https://chrome.google.com/webstore/detail/radio-record-fm/nfgiacdbmgamojpbkoleplcghganhccj
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment