Chrome插件也流氓？

很早以前就听说过Chrome插件有流氓行为，不过“单纯”的我认为只是非Chrome web store渠道下载的插件才会这样，所以一直没放在心上。傻傻认为能通过审核的插件都是“好插件”，不过今天才发现事情不是那么简单。

我们的主角是一个很火的网页截图插件：Awesome Screenshot

在可以Chrome web store中看到他的火爆程度以及良好的评价：

在添加插件的时候，Chrome会提醒你它所需的权限：

注意第一点“读取并更改你访问的网站的所有内容”，这个看起来有点屌啊，当时安装的时候还没注意这点...不过我猜大多数普通用户会和我一样，直接点击“Add”（都tm通过审核了还能做出什么鬼事？我当时就是这么想的）

接下来令人愉快的故事就要发生了，duang～

刚才想写个全自动小脚本，于是乎开始抓包：

随便来个请求：

咦？第一个是我的请求，然后为何突然POST两下呢？

查看一下POST数据：

Base64编码两次，解密后发现...

我了个大槽啊，我刚才发的请求、参数全在里面了....心中一堆动物呼啸而过...

看了一下Origin：

检查了下插件...擦！就是这个Awesome Screenshot！

之后随机测试了一下其他网站，果然也是一样的，会向s*.crdui.com发送请求，然后谷歌之：

诶...防不胜防...

劫持流量的事儿估计它也能干的出来，毕竟有修改网页数据的权限，有兴趣的朋友们也可以验证下。

五星评价的“优秀”插件，也能做出如此流氓的事情，¥！&&＃（％＃@～～！

废话不多说了，在这提醒大家在安装插件的时候不要盲相信、注意权限。

互联网无隐私。