浏览器最令人称赞的一项功能是后台自动更新,更新进程还囊括了扩展开发者推送的更新,这意味着不管信任不信任扩展开发者,扩展开发者都有权限 向你推送新代码。更糟糕的是,扩展的所有权还可以转让给第三方,而用户不会被告知所有权的转让,直到他们使用的扩展出现问题为止。广告软件和恶意软件作者 可利用该漏洞向用户推送广告和垃圾信息。这就是最近一个Chrome扩展身上发生的事情。
Add to Feedly扩展作者Amit Agarwal收到了一封电子邮件,对方提出4位数的报价购买他的扩展,这个扩展只花了Agarwal一个小时时间开发,他觉得很划算,因此接受了交易, 将扩展所有权转让给另一个Google帐号。一个月后,扩展发布了一个更新,植入了广告软件开始重定向链接,广告软件通过自动更新推送给了3万Add to Feedly用户。
编者发稿时,Add to Feedly 扩展似乎已经被 Chrome Web Store 删除!
文章转载自 开源中国社区 [http://www.oschina.net]
