すべてのChrome拡張機能で危険なunsafe-evalを検索する方法

• グーグルクローム

このガイドでは、インストールされているすべてのChrome拡張機能で、危険で安全でない評価のコンテンツセキュリティポリシーを検索する方法を紹介します。このメソッドは、拡張ファイルがプレーンテキストで読み取り可能であれば、他のブラウザにインストールされている拡張に対しても機能します。

先週、ユーザーの閲覧データを記録して販売した多数の拡張機能を取り巻く新しいスキャンダルがニュースを発表した。今回、400万を超えるブラウザのインス​​トールに影響があり、これは、怪しげなブラウザ拡張を取り巻くプライバシー関連の一連の問題の最新のものでした。

質問の拡張機能は、 十分に文書化された リモートペイロードをダウンロードし、閲覧データの収集と転送を開始するために、unsafe-evalと呼ばれるコンテンツセキュリティポリシーディレクティブ。

Chrome拡張機能は、拡張マニフェストでunsafe-evalを宣言して使用する必要があります。 Chromeウェブストアでは使用が強調表示されておらず、拡張機能は開発者がストアにアップロードしたときにクリーンです。

レイモンドヒル、の開発者 uBlock Origin 説明した 次の方法で、インストール後にユーザーシステムにペイロードをダウンロードしたこれらの悪意のある拡張機能に関する問題：

拡張機能が独自のコンテキストでリモートコードを実行できるようにするには、manifest.jsonで明示的に「unsafe-eval」を宣言する必要があります。

言い換えると、これらの拡張機能はunsafe-evalを宣言して、後でペイロードをダウンロードできるようにしました。

Hillは、ユーザーにunsafe-evalを宣言する拡張機能を使用しないことをお勧めします。ただし、ユーザーが「Chromeに追加」ボタンを押す前に、拡張機能のマニフェストファイルを確認する必要があります。

私たちは Chrome拡張機能検証ガイド 2015年には、インストール前にChromeウェブストア拡張機能を確認するための優れたリソースです。

長いガイド全体を読みたくない場合があるため、ここに簡単な概要を示します。

1. ダウンロード Chrome Extension Source Viewer 拡張。
2. 確認する拡張機能のプロファイルページを開きます。
3. Chrome Extension Source Viewer拡張機能のCRXアイコンをクリックし、[View Source]を選択します。
4. manifest.jsonファイルを選択し、unsafe-evalを確認します。 F3を使用してページ上の検索を開きます。

インストールされた拡張機能はどうですか？

インストールされている各拡張機能のmanifest.jsonファイルを開いて、unsafe-eval宣言が使用されているかどうかを確認できますが、それらすべてを一度に検索して、プロセスを高速化することもできます。

以下にその方法を示します。

1. 優れたツール「すべて」をシステムにダウンロードします。ファイルコンテンツの検索をサポートする他のテキストエディタを使用することもできます。 UltraSearch または メモ帳++ 。
2. プログラムを右クリックし、「管理者として実行」を選択してプログラムを起動します。
3. [検索]> [詳細検索]を選択します。
4. [ファイル内の単語またはフレーズ]フィールドにunsafe-evalと入力します。
5. c：ドライブ（またはシステム上の同等のドライブ）を選択するか、拡張機能ディレクトリをすぐに選択します。
   1. パスを見つけるには、アドレスバーにchrome：// version /をロードします。
   2. プロファイルのパス値をコピーします。 C： Users Martin AppData Local Google Chrome User Data Profile 1
   3. [場所]フィールドに貼り付けます。
6. 「サブフォルダを含める」が選択されていることを確認してください。
7. 了解しました。

すべてが選択されたフレーズのフォルダー構造全体とすべてのファイルを検索します。 manifest.jsonファイルに焦点を当て、それらをダブルクリックしてデフォルトのテキストエディターで開きます。組み込みの検索を使用してunsafe-evalを検索し、結果を確認します。

同じ方法が他のほとんどのブラウザでも機能するはずです。

では、あなた ：インストールする前に拡張機能を確認しますか？