微軟安全團(tuán)隊(duì)工程師力挺Chrome MV3擴(kuò)展計(jì)劃 認(rèn)為打擊廣告攔截只是陰謀論 – 藍(lán)點(diǎn)網(wǎng)

2025-12-05 06:35:09 分類：熱點(diǎn) 閱讀(87911)

注意：本文作者 ericlaw 強(qiáng)調(diào)僅代表個(gè)人觀點(diǎn)，微軟為打不代表任何實(shí)體 (即不代表微軟)。安全ericlaw 曾是團(tuán)隊(duì)挺杭州濱江外圍商務(wù)模特（外圍）vx《356+2895》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá) Office、IE 和 Edge 的工程告攔工程師，現(xiàn)在是師力 Microsoft Defender 團(tuán)隊(duì)產(chǎn)品經(jīng)理。

---

關(guān)于 Google Chrome Mainfest v3 API 引起的展計(jì)爭(zhēng)議非常多，其中最大的擊廣截爭(zhēng)議就是 MV3 限制了廣告擴(kuò)展程序的能力，因此這被廣泛認(rèn)為是陰謀谷歌打擊廣告攔截?cái)U(kuò)展程序，維持自家的論藍(lán)廣告業(yè)務(wù)，廣告是點(diǎn)網(wǎng)谷歌的支柱業(yè)務(wù)之一。

不過(guò) ericlaw 認(rèn)為這種說(shuō)法其實(shí)是微軟為打陰謀論，因此 Chrome 團(tuán)隊(duì)的安全本質(zhì)目的是減少擴(kuò)展程序 API 的濫用，這牽涉到嚴(yán)重的團(tuán)隊(duì)挺隱私和安全問(wèn)題。

為什么說(shuō)舊版本的風(fēng)險(xiǎn)很大：

在舊版本中，擴(kuò)展程序可以在所有網(wǎng)站上讀取和改變數(shù)據(jù)、師力杭州濱江外圍商務(wù)模特（外圍）vx《356+2895》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)修改隱私設(shè)置等。對(duì)大多數(shù)普通用戶來(lái)說(shuō)，根本不會(huì)仔細(xì)研究這些權(quán)限請(qǐng)求的區(qū)別，直接安裝這些擴(kuò)展同意這些授權(quán)。

如果用戶授予了上述權(quán)限，那么惡意擴(kuò)展程序可以讀取用戶的電子郵件、向整個(gè)地址簿發(fā)送釣魚(yú)郵件 (即網(wǎng)頁(yè)版的郵件)、從網(wǎng)盤中刪除文件或添加惡意文件、把惡意文件分享給你的好友、在 X/Twitter 賬號(hào)上發(fā)布廣告等等。

提供這種級(jí)別的瀏覽器訪問(wèn)權(quán)限比密碼泄露的風(fēng)險(xiǎn)還要大，因?yàn)椴簧倬W(wǎng)站使用 2FA 驗(yàn)證，即便密碼泄露黑客也不一定能登錄，但 2FA 對(duì)惡意擴(kuò)展無(wú)效，因?yàn)橛脩粢呀?jīng)自己登錄了網(wǎng)站。

還有供應(yīng)鏈攻擊問(wèn)題：

ericlaw 還提到有些情況下，擴(kuò)展程序作者可能并不是惡意行為者，但他們可能會(huì)在無(wú)意中被黑客劫持，例如賬號(hào)被劫持替換成惡意擴(kuò)展、開(kāi)發(fā)者不慎使用了帶有后門的庫(kù)，這都會(huì)導(dǎo)致用戶遭到威脅。

事實(shí)上這種情況已經(jīng)發(fā)生過(guò)多次，例如：近期多個(gè)谷歌瀏覽器擴(kuò)展程序開(kāi)發(fā)者遭到釣魚(yú)攻擊

還有種灰色產(chǎn)業(yè)鏈，一些攻擊者會(huì)付費(fèi)給開(kāi)發(fā)者要求接管擴(kuò)展程序的分發(fā)，當(dāng)攻擊者在擴(kuò)展程序里添加后門并通過(guò)谷歌審核后，這些擴(kuò)展同樣會(huì)被 Chrome 自動(dòng)更新，進(jìn)而威脅到很多用戶。

支持 MV3 API：

ericlaw 稱在過(guò)去幾年里，Chrome 團(tuán)隊(duì)一直在努力減少新的 MV3 系統(tǒng)被濫用的風(fēng)險(xiǎn)，但專家和其他人已經(jīng)傳播了精心設(shè)計(jì)的陰謀論(嗯…這么來(lái)說(shuō)藍(lán)點(diǎn)網(wǎng)也是傳播者之一)，認(rèn)為這是谷歌打擊廣告攔截器的一種方式，以保護(hù)谷歌的商業(yè)利益 (ericlaw 強(qiáng)調(diào)：這是一個(gè)特別愚蠢的說(shuō)法，因?yàn)楣雀鑿V告在新系統(tǒng)中是可以屏蔽的)。

那么人類應(yīng)該做什么呢？盡可能少地使用擴(kuò)展程序，盡可能使用瀏覽器內(nèi)置的功能，定期在 about:extension 中刪除不需要和不認(rèn)識(shí)的擴(kuò)展程序，定期檢查你的以及你家人的擴(kuò)展程序。

如果你從事 IT 安全行業(yè)，應(yīng)該了解擴(kuò)展程序的風(fēng)險(xiǎn)幾乎傳統(tǒng)惡意軟件一樣大，因此應(yīng)該制定一項(xiàng)策略，通過(guò)阻止某些權(quán)限來(lái)幫助您的企業(yè)免受惡意擴(kuò)展程序的侵害，Chrome 和 Edge 都提供了相關(guān)組策略可以控制。

甚至你還可以在公司內(nèi)部創(chuàng)建 Web Store，僅允許員工安裝 IT 安全團(tuán)隊(duì)審查過(guò)后的擴(kuò)展程序，這將有助于防范供應(yīng)鏈攻擊，有關(guān)這方面的更多信息可以查看這份谷歌發(fā)布的 PDF。