微软部分Edge插件疑是李鬼 技术人员分析称其有恶意代码

  • A+
所属分类:安全新闻

微软部分Edge插件疑是李鬼 技术人员分析称其有恶意代码


微软的Edge浏览器在放弃自己的引擎,改用谷歌开源的Chromium核心之后,已经成为微软浏览器翻身之作,目前已经是第二大了,仅次于正牌Chrome。Edge浏览器优点多多,兼容Chrome的插件就是最具吸引力的地方,而且微软的应用商店国内可以正常访问,所以不少人去微软官方下载插件,扩展Edge功能。


Chrome的一些知名插件在Edge上也很受欢迎,比如Proxy SwitchyOmega,很多人也直接从微软官方商店下载了,然后问题来了,Edge版的Proxy SwitchyOmega竟然是李鬼。

虽然Proxy SwitchyOmega的功能可以正常使用,但是上传者别有用心加入了其他代码,V2EX上已经有大神做了分析,对比发现background.html 里多引了一个脚本 js/pic.js。

微软部分Edge插件疑是李鬼 技术人员分析称其有恶意代码

这个李鬼版插件的作者很狡猾,将脚本隐藏为一个PNG图像文件,很多人都不可能注意到其中的问题。

简单来说,现在这个李鬼插件会加载商品返利代码,用户购物的时候不知不觉中使用了这个页面下单,李鬼插件的作者就会获得分成。

如果只是返利还好说,其实插件中被人加了别的代码,远程控制都是有可能的。

事实上,这也不是第一次有人曝出Edge商店的Proxy SwitchyOmega插件有恶意代码了,早前看微软页面评论就有人提到过,不过现在看评论好像都没了。

也不止是这一个插件有问题,新版Edge浏览器支持Chrome版插件以来,已经有多款插件曝出过类似的问题了,都是插件被加入了恶意代码。

在这件事上,微软官方的Edge商店审核不严还是关键啊,不仅因为兼容Chrome,省事了就放下不管了。


原文分析

首先用 beyond compare 比较一下李鬼跟原版有什么区别,发现 background.html 里多引了一个脚本 js/pic.js

微软部分Edge插件疑是李鬼 技术人员分析称其有恶意代码


打开 pic.js 看核心代码,用 String.fromCharCode.apply 把 ascii 转回字符串,发现这里实际上是又加载了一个脚本 img/logo.png

微软部分Edge插件疑是李鬼 技术人员分析称其有恶意代码


把 logo.png 的扩展名改为 html 然后用浏览器打开就会发现这个文件前半部分是 png,后半部分是纯文本。图片浏览器会忽略后半部分,所以仍然可以当作图片正常打开。上面那段代码就是寻找脚本的关键字( sojson ),截取后半部分

微软部分Edge插件疑是李鬼 技术人员分析称其有恶意代码


所以这段脚本到底是干嘛的呢?由于太长了直接拉到最后

微软部分Edge插件疑是李鬼 技术人员分析称其有恶意代码


x73x70x6cx69x74 是 split,正则 /[a-zA-Z]{1,}/ 是 split 的参数,这一大串其实就是用字母分隔的 ascii 数组,把字母去掉然后用 String.fromCharCode.apply 转回字符串,李鬼现行了,存在恶意代码

https://gist.github.com/jat001/b10d12eee207c380246e7be74f8e6ed6


微软部分Edge插件疑是李鬼 技术人员分析称其有恶意代码



发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: