这是 Google Chrome 的浏览器扩充,
主要是增加Steam的物品库交易功能,
今天更新后要求新权限"读取所有造访网站的资料",
注重网络隐私的建议移除。
替代方案 userscript 使用者脚本
https://github.com/Nuklon/Steam-Economy-Enhancer
SteamCN的介绍 https://steamcn.com/t310798-1-1
**************************************************
官方更新释出前声明:
短网址 https://goo.gl/xfjxFE
原连结
http://steamcommunity.com/groups/SteamInventoryHelper#announcements/detail/2694698722699380319
为了和合作网站沟通,这次更新包含新权限要求,
你会看到"读取及变更造访网站的所有资料"通知,
这只是Google的原则要求,不用惊慌,
我们不会读取或变更你的资料,
也会放上隐私政策连结让你放心。
**************************************************
更新释出后reddit热门文章:
警告: Steam Inventory Helper 包含危险权限
https://redd.it/70xofs
原码分析:
Steam Inventory Helper (SIH) 浏览器扩充
会加载所有开启的网页,甚至是about:blank空白页
监控何时进入网站、何时鼠标点击/移动、
何时开始输入文字(不是键盘侧录,只记录动作时间)
当你点击连结时,会将网址回传到 steamih.com/box/monit
结论:尽快移除!
**************************************************
查了一下原来在 2016-05 就已经转手卖人
SIH browser extension has been sold
http://steamcommunity.com/groups/honestmerchants/discussions/1/364042262875289164/
**************************************************
类似案例
2015-09-30 CrxMouse会上传你所有浏览的网页
http://bbs.kafan.cn/thread-1693616-1-1.html
2017
01/11 #1OTNsa_v [-GC-] 新版 Stylish 开始蒐集使用者资讯
03/13 #1OnVxxje [-GC-] 又一扩充元件在更新中偷偷放入广告软件
06/27 #1PKJnRkr [-GC-] Betternet 6/25 被植入广告(6/27 修复)
文内提供的恶意扩充列表
http://chromepeeps.blogspot.com/p/list-of-malware-and-problematic.html
07/12 #1PPP2Vo2 [-GC-] 注意 Youtube Plus 更新要求新权限
09/09 #1PisfPSS [-GC-] Chrome User-Agent Switcher 疑似为木马!
流程:转卖/被骇 → 加料 → 自动更新 → 使用者发现 → 检举
要是扩充原本就有读取变更所有网站的权限,
自动更新加料的话你根本就不会知道,
更新上架推送,商店都不用审核的吗?
越来越频繁的案例真的很扯…根本就是木马后门。
现在只能避免安装有变更所有网站权限的扩充,
也尽量改用userscript,至少看得到原码,更新也会通知。