Chrome浏览器最令人称赞的一项功能是后台自动更新,更新进程还囊括了扩展开发者推送的更新,这意味着不管信任不信任扩展开发者,扩展开发者都有权限向你推送新代码。更糟糕的是,扩展的所有权还可以转让给第三方,而用户不会被告知所有权的转让,直到他们使用的扩展出现问题为止。广告软件和恶意软件作者可利用该漏洞向用户推送广告和垃圾信息。这就是最近一个Chrome扩展身上发生的事情。 Add to Feedly扩展作者Amit Agarwal收到了一封电子邮件,对方提出4位数的报价购买他的扩展,这个扩展只花了Agarwal一个小时时间开发,他觉得很划算,因此接受了交易,将扩展所有权转让给另一个Google帐号。一个月后,扩展发布了一个更新,植入了广告软件开始重定向链接,广告软件通过自动更新推送给了3万Add to Feedly用户。 编者发稿时,Add to Feedly 扩展似乎已经被 Chrome Web Store 删除! |
