Chrome扩展捕获被劫持用户的搜索引擎结果

谷歌昨日从其官方网站上删除了Chrome浏览器的扩展，因为它秘密劫持了搜索引擎查询，并将用户重定向到充斥着广告的搜索结果。

扩展名是“Youtube队列”。当它从网络商店中删除时，已经安装了近7000个用户。

这个扩展允许用户按照他们想要的顺序排队观看YouTube上的多个视频。

但在引擎的兜帽下，它还拦截搜索引擎查询，通过Croowila URL重定向查询，然后将用户重定向到一个名为Information Vine的自定义搜索引擎。搜索引擎列出了相同的谷歌搜索结果，但填充了大量广告和相关链接。

大约两周前，用户开始注意到延伸的可疑行为。当时第一篇报道出现在Reddit上，几天后又出现了两次。

昨天，在微软边缘工程师(也是前谷歌Chrome开发者)指出扩展搜索引擎劫持了推特上的功能后，该扩展被从在线商店中删除。

劳伦斯说，扩展的可疑代码只在ChromeWebStore上列出的版本中找到，而不是在扩展的GitHub存储库中。

在接受注册中心采访时，扩展的开发者声称自己没有参与其中，他将扩展出售给了一个名为Softools的实体，这是一个著名的网络应用平台。

在对登记册的后续查询中，Softools否认与扩展开发有任何关系，更不用说恶意代码了。

恶意实体主动提出购买Chrome扩展，然后在源代码中添加恶意代码，这并不是什么新鲜事。

这些事件最早出现在2014年，2017年，一个不知名的一方购买了三个合法扩展(YouTube、打字机声音和twitch mini player)，并重新使用它们在热门网站上注入广告。

在2017年的一条推文中，DuckGo的软件工程师Konrad Dzwinel说，他通常每周都会收到关于出售他的扩展的询问。

我每周都会收到这样的建议。他们还提供了大量的资金。

在2019年2月的一篇博客文章中，反病毒制造商卡巴斯基警告用户，在浏览器上安装该扩展之前，请进行一些研究，以确保该扩展不会被劫持或出售。

开发人员在不通知用户的情况下悄悄出售他们的扩展，开发人员热衷于搜索Chrome在线商店账户。目前，恶意软件团伙通过这两种方法接管合法的Chrome扩展，将恶意代码植入用户浏览器。

此外，劳伦斯指出，将YouTube队列扩展为流氓就是一个很好的例子，这表明恶意威胁参与者滥用Web请求API做坏事。

这是一个大多数广告拦截器都在使用的API，也是谷歌试图用一个更短的名为声明式Web请求API的API来替代的API。

[ALT text:浏览器扩展滥用webRequestBlockAPI，将用户的搜索查询从HTTPS网站重定向到使用不安全HTTP广告的意外搜索引擎。]

这一变化引发了最近关于“谷歌杀死广告拦截者”的公开讨论。

然而，谷歌上周表示，自2018年1月以来，谷歌在Chrome网站上检测到的所有恶意扩展中，有42%以某种方式滥用了Web请求API——YouTube的队列扩展就是一个例子。

在另一篇推特帖子中，Chrome安全工程师Justin Schuh再次指出，谷歌更换旧的web请求api的主要目的是为了推动隐私和安全，而不是其他任何东西，比如性能或广告拦截。谷歌也在上周的一篇博客文章中正式声明了这一点。

Chrome在这一点上的立场非常一致。是的，通过Web请求的声明性网络请求具有非常真实的性能优势，但是主要的动机一直是通过扩大它们需要的访问范围来提高安全性和隐私性。