作者mkz6 ( )
看板Browsers
标题[-GC-] Steam Inventory Helper 收集隐私
时间Tue Sep 19 11:23:44 2017
这是 Google Chrome 的浏览器扩充,
主要是增加Steam的物品库交易功能,
今天更新後要求新权限"读取所有造访网站的资料",
注重网路隐私的建议移除。
替代方案 userscript 使用者脚本
https://github.com/Nuklon/Steam-Economy-Enhancer
SteamCN的介绍
https://steamcn.com/t310798-1-1
**************************************************
官方更新释出前声明:
短网址
https://goo.gl/xfjxFE
原连结
http://steamcommunity.com/groups/SteamInventoryHelper#announcements/detail/2694698722699380319
为了和合作网站沟通,这次更新包含新权限要求,
你会看到"读取及变更造访网站的所有资料"通知,
这只是Google的原则要求,不用惊慌,
我们不会读取或变更你的资料,
也会放上隐私政策连结让你放心。
**************************************************
更新释出後reddit热门文章:
警告: Steam Inventory Helper 包含危险权限
https://redd.it/70xofs
原码分析:
Steam Inventory Helper (SIH) 浏览器扩充
会载入所有开启的网页,甚至是about:blank空白页
监控何时进入网站、何时滑鼠点击/移动、
何时开始输入文字(不是键盘侧录,只记录动作时间)
当你点击连结时,会将网址回传到 steamih.com/box/monit
结论:尽快移除!
**************************************************
查了一下原来在 2016-05 就已经转手卖人
SIH browser extension has been sold
http://steamcommunity.com/groups/honestmerchants/discussions/1/364042262875289164/
**************************************************
类似案例
2015-09-30 CrxMouse会上传你所有浏览的网页
http://bbs.kafan.cn/thread-1693616-1-1.html
2017
01/11
#1OTNsa_v [-GC-] 新版 Stylish 开始蒐集使用者资讯
03/13
#1OnVxxje [-GC-] 又一扩充元件在更新中偷偷放入广告软体
06/27
#1PKJnRkr [-GC-] Betternet 6/25 被植入广告(6/27 修复)
文内提供的恶意扩充列表
http://chromepeeps.blogspot.com/p/list-of-malware-and-problematic.html
07/12
#1PPP2Vo2 [-GC-] 注意 Youtube Plus 更新要求新权限
09/09
#1PisfPSS [-GC-] Chrome User-Agent Switcher 疑似为木马!
流程:转卖/被骇 → 加料 → 自动更新 → 使用者发现 → 检举
要是扩充原本就有读取变更所有网站的权限,
自动更新加料的话你根本就不会知道,
更新上架推送,商店都不用审核的吗?
越来越频繁的案例真的很扯…根本就是木马後门。
现在只能避免安装有变更所有网站权限的扩充,
也尽量改用userscript,至少看得到原码,更新也会通知。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 220.135.109.115
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Browsers/M.1505791428.A.950.html
1F:→ kenwufederer: 其实最大收集者就是… 09/19 11:25
2F:推 queso: 健保 09/19 11:30
3F:推 Kenqr: ... 09/19 12:33
4F:推 toploader: 感谢通知 09/19 13:25
5F:推 Shauter: 脚本比套件危险多了好吗 XD 09/19 13:27
6F:推 rockmanx52: Google记得是几乎不审核的... 09/19 13:41
8F:推 g5637128: 这扩充满好用的说,可惜了 09/19 21:40
9F:推 homelife: 个人觉得Google应该要对商店负责一点..虽然开发者费用 09/19 21:57
10F:→ homelife: 印象中不高,但攸关网路安全 09/19 21:57
11F:→ Shauter: 你听某r胡说啥........ 09/19 22:21
12F:→ Shauter: 另外人家都出来讲话了 09/19 22:22
13F:推 kaoh08: 才一天 SafeBrowse 被爆出会背景挖矿 审核形同虚设 哀.. 09/20 00:20
14F:推 Shauter: 要像某人这样可悲真的太惨惹 QQ 09/20 10:38
已经有大大在 Steam 板翻译 SIH 官方後续公告
文章代码:
#1PmOAp9t (Steam)
文章网址:
https://webptt.com/cn.aspx?n=bbs/Steam/M.1505854131.A.277.html
简单整理:
1. 更新推送前公告
https://goo.gl/xfjxFE
“read and change all your data”, this is just a Google principle
读取修改所有资料只是Google的规定
we won’t read and change your data
我们不会读取修改你的资料
2. 更新後 reddit 网友抓包回传所有浏览纪录
https://redd.it/70xofs
3. SIH官方道歉,表示会下架并重新上传无权限版本
https://archive.is/vYC3h (原公告已删除)
4. SIH官方删除道歉公告,另发新公告
https://goo.gl/C7NRXy
表示 Google Analytics 提供的统计资料太少,
我们收集资料的作法跟浏览器 Cookie 没两样,
我们将会继续收集资料开发 SIH,
收集资料的 SimilarWeb 公司也受到 Google 信任。
说我们 keylogger 侧录和转卖资料的人都疯了,
我们从来不骗人,免费给你用还要被骂,哭哭。
更新前说是 Google 要求权限,我们不会收集资料。
被抓包後说 Google 统计资料太少,我们要继续收集资料开发。
都是 they 的错 XD
**************************************************
补充替代方案 userscript 使用者脚本
https://github.com/Nuklon/Steam-Economy-Enhancer
SteamCN的介绍
https://steamcn.com/t310798-1-1
※ 编辑: mkz6 (220.135.109.115), 09/20/2017 12:51:11
15F:推 Kenqr: 还说使用者疯了 有够狂 09/20 13:50
16F:推 zhtw: 说不定第二篇的作者已经不是本来的了 两篇态度差很多欸XDD 09/20 14:02
17F:→ zhtw: 可能被心控了(误 09/20 14:03
18F:推 eight0: Shauter 可以说明下脚本比套件危险的地方在哪吗? 09/21 00:45
19F:推 Shauter: 在浏览器下脚本还不危险........现在是因为两个还三个 09/21 03:01
20F:→ Shauter: 比较活跃的网站 乡民回报踊跃而已 不然像早期某个还一堆 09/21 03:02
21F:→ Shauter: 毒 09/21 03:02
你拿 userscripts.org 时代的脚本来说嘴…
各种盗原码加料上传的始祖,真是吓屎人惹 XD
跟现在 Google 商店的情况倒是有87%相似,
差别在脚本安装前你可以先看到原码,
脚本更新後你可以选择是否安装,
大部分的恶意脚本都是乱枪打鸟,
不懂原码也可以看评论/上传日期来判断,
顶多只能骗骗没经验的使用者。
反观GC扩充功能,
只要取得读取变更所有网站资料的权限,
配上一直放行各种恶意代码的商店审核,
今年就已经有许多知名且热门的扩充出包,
都是更新推送後才被使用者发现检举,
也难怪会有新闻说骇客锁定扩充开发人员网钓,
或者买断扩充,都是因为可以轻松加料推送给使用者,
你跟我说脚本比扩充危险???
麻烦您举几个今年热门脚本出包的例子好不好 ^_^
※ 编辑: mkz6 (220.135.109.115), 09/21/2017 09:02:41
22F:推 Shauter: 脚本安装前你可以先看到原码 XDDD 09/21 09:41
userscripts镜象站截图
https://i.imgur.com/tjnppS4.png
23F:→ Shauter: 原来大家各各是资讯业的 然後看评论/上传日期 套件不行? 09/21 09:41
我前面已经说了好几遍了…
扩充功能会在没有任何通知的情况下自动更新,
如果原本就有"读取变更所有网站资料"的权限,
就不会跳出权限变更的提示,
就算更新夹带恶意代码,也只能先装了再说…
使用者脚本更新不但会通知,还可以选择是否要安装新版本。
24F:→ Shauter: 先搞懂浏览器现在最吃重的就是两个东西 CSS样式表/脚本 09/21 09:42
25F:→ Shauter: 前者基本上不太能有害 後者就是现在浏览器的重心好吗 09/21 09:42
26F:→ Shauter: 所以我说的现在是比较多人回应才没问题错在哪? 09/21 09:43
脚本比套件危险是您自己在前面推文说的,
您现在要改口没问题,我也没有意见 ^_^
27F:→ Shauter: 你整天抓包套件 可是套件一样也是被爆出来啊 09/21 09:43
所以是我才发文让大家注意扩充功能的权限问题啊!
难道扩充功能一直出包是我的错吗? XD
※ 编辑: mkz6 (220.135.109.115), 09/21/2017 11:07:10
28F:推 kaoh08: 有另外装套件的话 套件也是可以安装前先看原始码的 09/22 10:14
29F:→ kaoh08: 是说 userscript没在审核但api有限 套件虽然有审核 但是.. 09/22 10:17