這是 Google Chrome 的瀏覽器擴充,
主要是增加Steam的物品庫交易功能,
今天更新後要求新權限"讀取所有造訪網站的資料",
注重網路隱私的建議移除。
替代方案 userscript 使用者腳本
https://github.com/Nuklon/Steam-Economy-Enhancer
SteamCN的介紹 https://steamcn.com/t310798-1-1
**************************************************
官方更新釋出前聲明:
短網址 https://goo.gl/xfjxFE
原連結
http://steamcommunity.com/groups/SteamInventoryHelper#announcements/detail/2694698722699380319
為了和合作網站溝通,這次更新包含新權限要求,
你會看到"讀取及變更造訪網站的所有資料"通知,
這只是Google的原則要求,不用驚慌,
我們不會讀取或變更你的資料,
也會放上隱私政策連結讓你放心。
**************************************************
更新釋出後reddit熱門文章:
警告: Steam Inventory Helper 包含危險權限
https://redd.it/70xofs
原碼分析:
Steam Inventory Helper (SIH) 瀏覽器擴充
會載入所有開啟的網頁,甚至是about:blank空白頁
監控何時進入網站、何時滑鼠點擊/移動、
何時開始輸入文字(不是鍵盤側錄,只記錄動作時間)
當你點擊連結時,會將網址回傳到 steamih.com/box/monit
結論:盡快移除!
**************************************************
查了一下原來在 2016-05 就已經轉手賣人
SIH browser extension has been sold
http://steamcommunity.com/groups/honestmerchants/discussions/1/364042262875289164/
**************************************************
類似案例
2015-09-30 CrxMouse會上傳你所有瀏覽的網頁
http://bbs.kafan.cn/thread-1693616-1-1.html
2017
01/11 #1OTNsa_v [-GC-] 新版 Stylish 開始蒐集使用者資訊
03/13 #1OnVxxje [-GC-] 又一擴充元件在更新中偷偷放入廣告軟體
06/27 #1PKJnRkr [-GC-] Betternet 6/25 被植入廣告(6/27 修復)
文內提供的惡意擴充列表
http://chromepeeps.blogspot.com/p/list-of-malware-and-problematic.html
07/12 #1PPP2Vo2 [-GC-] 注意 Youtube Plus 更新要求新權限
09/09 #1PisfPSS [-GC-] Chrome User-Agent Switcher 疑似為木馬!
流程:轉賣/被駭 → 加料 → 自動更新 → 使用者發現 → 檢舉
要是擴充原本就有讀取變更所有網站的權限,
自動更新加料的話你根本就不會知道,
更新上架推送,商店都不用審核的嗎?
越來越頻繁的案例真的很扯…根本就是木馬後門。
現在只能避免安裝有變更所有網站權限的擴充,
也盡量改用userscript,至少看得到原碼,更新也會通知。