如果你用 Chrome 瀏覽器,那肯定多多少少都會安裝幾個擴充套件,畢竟我這麼多年來都不知道安利了多少個好用的擴充套件,你要是不用幾個,那豈不是太不給面子了。
但是最近上網衝浪的時候,發現了一個關於 Chrome 擴充套件的重磅新聞,那就是某個有 60W 使用者的 Chrome 擴充套件存在惡意程式碼。
倒黴的是,我也在用這個擴充套件,不排除小夥伴們中也會有人在使用,所以非常有必要告知給大家。
SuperCopy 超級複製
這個擴充套件就是 SuperCopy 超級複製,它的主要功能是在禁止複製、禁止右鍵、禁止選擇的網頁,可以實現一鍵複製,一鍵貼上,一鍵選擇,啟用右鍵,啟用複製,啟用選擇,啟用貼上。
另外要注意它還是 Chrome 擴充套件商店精選商品。
那 SuperCopy 超級複製存在惡意程式碼是怎樣被發現的呢?最先是 V2EX 上一位網友 @XiaoqiDev 十來天前釋出的貼子揭露的。
據他介紹自己偶爾會在電腦上使用京東聯盟自己邀請下單,這個正常,我平時在網上購物也會透過返利平臺來薅點羊毛。
但他發現最近有一些訂單沒有拿到返利,不過當使用 Chrome 訪問京東商品詳情頁時,已開啟的第一個標籤頁的會自動跳轉然後跳回之前的頁面。
於是他逐一排查了所有安裝的擴充套件,確定是 SuperCopy 超級複製搞的鬼。
經測試,當瀏覽器已經開啟的標籤頁大於 3 個時,訪問京東任意商品詳情頁,該擴充套件會發起一個請求,該請求返回一個連結,此時瀏覽器中第一個標籤頁會跳轉到該連結,該連結跳轉到京東聯盟返利連結,訪問完成之後再跳轉回該標籤頁之前開啟的連結,下單使用者最後一次開啟的是誰的返利連結,京東就會返利給誰。
簡單總結,就是當用戶在電腦瀏覽器上訪問京東等購物網站時,SuperCopy 超級複製會自動訪問它自己的返利站點,再生成連結並替換掉使用者開啟的連結,這種劫持流量的行為就是赤裸裸的流氓行為。
這樣的行為也違反了電商網站的返利規則,在@XiaoqiDev 帖子的下方,有相關電商員工和他聯絡準備深入調查這件事。
除了劫持流量,帖子下面還有網友反饋這個外掛重寫 console.log ,導致所有控制檯列印都失效。
這個反饋在 Chrome 商店中 SuperCopy 超級複製主頁的評論區也得到了驗證,評論區前排都是網友關於這兩方面劣跡的吐槽。
看到這麼多網友的吐槽,SuperCopy 超級複製惡意程式碼劫持流量和重寫 console.log 算是實錘了。
更令我不理解的是,SuperCopy 超級複製直到現在還掛著 Chrome 擴充套件商店精選的背書,看來官方稽核力度跟進還是不夠。
Simple Allow Copy
當然我也知道一鍵破除網頁禁止複製也是一大剛需,其實四年前就安利過一個類似的擴充套件 Simple Allow Copy ,安裝之後把它的擴充套件圖示點成彩色之後,就可以輕鬆複製任意網頁上的文字了。
我現在也經常在用,還記得四年前使用者只是 20 萬+,現在已經 70 萬+,論使用者數量也是完爆 SuperCopy 超級複製,說明還是值得認可的。
推薦大家用這個來替換 SuperCopy。
結語
其實SuperCopy 超級複製和上個月說 Edge 的問題是一個性質,都是明明手握巨大流量,卻非要動歪心思幹這齷齪的勾當。
掙錢這事不寒磣,但總得有個底線,這年頭,在流量的裹挾下,使用者數量一增多,有些就禁不起誘惑了。
所以還是儘量使用開源軟體,畢竟那麼多人盯著,好歹也算是有個約束,你說對吧。