• Home
  • Categories
  • WIKI
  • LANGUAGE: en
    • [Explorer] 浏览器6.0.24私自内置一个组件级的插件,在所有页面注入js脚本
    Product Feedback 1344 views · 10 replies ·
    Tofloor
    poster avatar
    132******23
    deepin
    2022-12-21 04:38
    Author

    问题描述:

    浏览器6.0.24私自内置一个组件级的插件,无法禁用,无法删除。该插件在所有页面注入如下 js 脚本:

    • chrome-extension://aaoedmbnjcmpjbepagkfjpmfmajbkjff/assets/js/inject-repair.js

      (() => {
  const insertContent = (url, type = "script") => {
    try {
      const xhr = new XMLHttpRequest();
      xhr.open("get", url, false);
      xhr.send();
      if(!xhr.responseText){
        return ;
      }
      const node = document.createElement(type);
      node.innerHTML = xhr.responseText;
      document.documentElement.appendChild(node);
      if (type !== "style") {
        document.documentElement.removeChild(node);
      }
    } catch (err) {
    }
  };
  if (!["chrome-extension:", "chrome:", "ent:"].includes(window.location.protocol)) {
    insertContent("/uos-detection.insert.js");
    insertContent("/uos-detection.insert.css", "style");
  }
})();

    • 该 js 脚本的意图很明显,当我们访问某个站点时,如果该站点的根目录下放置文件 uos-detection.insert.js 和 uos-detection.insert.css,则会被自动加载,加载后能做任意浏览器内能做的事情。

    确认方法:

    • 首先需要启用组件级插件的选项,否则无法查看:sudo vi /usr/share/applications/org.deepin.browser.desktop 在 Exec 行添加 --show-component-extension-options 参数保存
    • 重启浏览器后访问 chrome://extensions/ 可见有3个扩展:CryptoTokenExtension 和 Chromium PDF Viewer 和 一个无名扩展。
    • 经比对,原装 Chromium 浏览器同样默认安装前2个扩展,但并没有第3个黑户扩展。
    • chrome://extensions/?id=aaoedmbnjcmpjbepagkfjpmfmajbkjff 可查看此扩展详情。
    Reply Favorite View the author
    All Replies
    lizipeng0013
    deepin
    2022-12-21 05:31
    #1

    confused

    Reply View the author
    thepoy
    deepin
    2022-12-21 05:55
    #2

    css就不说了,我不认为除了deepin和uos还有哪个网站的静态文件里会有 uos-detection.insert.js

    而且这个扩展究竟是什么作用,还是看通过这个js文件来判断。

    Reply View the author
    sudo_free
    deepin
    2022-12-21 06:13
    #3

    感觉问题倒不是很大,又不是跨站请求,而且加载的东西还是放DOM里。

    但这做法看着还是挺流氓的,令人迷惑。

    Reply View the author
    132******23
    deepin
    2022-12-21 17:30
    #4
    sudo_free

    感觉问题倒不是很大,又不是跨站请求,而且加载的东西还是放DOM里。

    但这做法看着还是挺流氓的,令人迷惑。

    如果加载的不是 /uos-detection.insert.js 而是 https://www.chinauos.com/uos-detection.insert.js 那就意图很明显了,那样统信就能收集每个 deepin 系统的用户使用浏览器访问了哪些站点,那事情就大了

    Reply View the author
    kero990
    deepin
    2022-12-21 17:34
    #5

    国内厂商就这个德行,开源还要这样搞,你可想而知不开源的都是些啥玩意

    Reply View the author
    sudo_free
    deepin
    2022-12-21 18:00
    #6

    那你访问的就是 https://www.chinauos.com 站点,既然这个人有权限在网站根目录放一份js/css文件,又何必在用户端加载呢?

    Reply View the author
    HualetWang
    deepin
    2022-12-21 18:47
    #7

    这个大家不要想多了哈,浏览器新版本集成了一个“网页兼容性检测工具” 的开发者工具(F12控制台可以看到),用来给那些只支持IE的网站做迁移用的。楼主说得这段代码就是那个工具引入的,我们看下是否可以让他不默认注入,在有使用的情况下再注入。感谢楼主的审视~

    Reply View the author
    那一个夜晚
    deepin
    2022-12-21 19:07
    #8

    路过学习一下

    Reply View the author
    132******23
    deepin
    2022-12-21 20:09
    #9
    sudo_free

    那你访问的就是 https://www.chinauos.com 站点,既然这个人有权限在网站根目录放一份js/css文件,又何必在用户端加载呢?

    我的意思是,如果这个扩展把 /uos-detection.insert.js 明确指向 https://www.chinauos.com/uos-detection.insert.js,那么你访问其他所有网站,最终都会去请求一下 https://www.chinauos.com/uos-detection.insert.js,就好比这是个第三方恶意库。也就幸亏它没这么做。

    Reply View the author
    132******23
    deepin
    2022-12-21 20:17
    #10
    HualetWang

    这个大家不要想多了哈,浏览器新版本集成了一个“网页兼容性检测工具” 的开发者工具(F12控制台可以看到),用来给那些只支持IE的网站做迁移用的。楼主说得这段代码就是那个工具引入的,我们看下是否可以让他不默认注入,在有使用的情况下再注入。感谢楼主的审视~

    是的,看到「网页兼容性检测工具」了。感谢解惑。

    Reply View the author