这两款超过30万次下载的Chrome插件“有毒”，建议立即删除

据ZDNet报道，因私自收集用户数据，谷歌从官方Chrome应用商店移除了两款ad blocker插件，它们包含恶意代码。

据悉，这两款插件分别名为Nano Adblocker和Nano Defender（它们常常被用户一起安装），由Hugo Xu开发。在过去一年多的时间，这两款插件总共有300000次的下载安装，其中，Nano Adblocker有超过50000次的下载安装，而Nano Defender则有超过200000次的安装。

值得注意的是，这两款插件最初的版本并不包含恶意代码。

10月3日，Nano Adblocker和Nano Defender插件的开发者Hugo Xu表示，因缺乏足够的时间维护插件，他决定将插件的Chrome应用商店所有权进行出售。

他在GitHub上发布了一则重要更新和免责声明：

位于谷歌Chrome应用商店的插件不再归我控制，我也不再对新开发者的行动负责。如果您对最近的变更感到担忧，请记住，您可以随时卸载此插件或寻找替代选项。 您可能注意到了，Nano Adblocker有数月时间未进行更新。很明显，我缺乏足够时间来进行维护。最初，这个项目没有任何积压的事情。随着该项目的发展，我添加了一个待办事项系统来更好的管理未解决的问题。不过，积压的事情后来变得越来越多，超出了我的承受能力。

因此，Hugo Xu将这两款插件卖给“一个土耳其的开发者团队”，但并未进一步透露交易的相关信息。此后，新的开发者在插件更新中加入了收集数据的代码。

在交易完成后，插件的用户之一Raymond Hill（uBlock Origin插件的作者）发现，这两款插件被修改了，里面包含恶意代码。

插件会把用户数据发送到未知名的服务器，这显然为用户带来了巨大的安全和隐私风险。

Hill说：“这两款插件如今被设计用来从你的outgoing 网络请求中查找特定信息，它使用一种可配置的探测手段，并且把获取到的信息发送到https://def.devnano.com。“

根据进一步的分析，这段恶意代码可以暴露收集的用户信息，例如：

• 用户IP地址
• 国家/地区
• 操作系统详情
• 网站URLs
• web请求的时间戳
• HTTP方法（POST、GET、HEAD等等）
• HTTP响应的大小
• HTTP状态码
• 每个web页面上的时间消耗
• 单个web页面上的其他URLs点击

此外，交易完成后，这个“土耳其的开发者团队”并未修改插件的作者字段，依然保留了原始作者的名字。这种行为似乎是有意隐藏他们的真实意图。

对用户来说，受恶意插件感染的浏览器会自动对大量的Instagram帖子进行点赞，而无需用户输入。加州大学圣地亚哥分校的人工智能和机器学习研究员Cyril Gorlla称，他的浏览器对来自一个Instagram账户上超过200张图片进行点赞，但是这个账户却无人关注。

据悉，并非只有Nano Adblocker和Nano Defender插件会篡改Instagram账户。User Agent Switcher，这款拥有超100000活跃用户的插件在被谷歌移除前也干了相同的事。

许多用户报告，受感染的浏览器还打开了未在浏览器中打开的账户。这让人们猜测，更新后的插件正访问身份验证cookies，并利用它们来访问用户账户。

Hill表示，“添加的代码能够实时收集请求头（我猜是通过websocket连接），这意味着敏感信息可能被泄露，比如session cookies。”

电子前哨基金会（EEE)一名资深技术人员Alexei称，关键是Nano插件以一种远程可配置的方式暗中上传你的浏览器数据。远程可配置方式意味着无需更新插件，即可修改数据被窃取的网站列表。实际上，由于远程配置的网站列表目前尚不明确。然而，有许多报道称用户的Instagram帐户受到影响。

在GitHub上被大量用户“声讨”后，这个土耳其的开发者团队创建了一个隐私政策页面。不过，在这个页面上，他们披露了数据收集行为，但试图以一种误导方式来合法化这段恶意代码。

然而，对谷歌员工来说，事情变得更容易，因为谷歌Chrome应用商店规定，任何类型的大量数据收集行为都被禁止。

目前，这两个插件已被被谷歌下线，并且在用户的Chrome浏览器中不可用。截至撰写本文时，笔者在Chrome应用商店已经无法搜到Nano Adblocker和Nano Defender这两个插件。

而Firefox版本的Nano Adblocker和Nano Defender插件不包含恶意代码，因为它们不属于本次交易的一部分，并且由不同的开发者进行管理。