注意：本文作者 ericlaw 強(qiáng)調(diào)僅代表個(gè)人觀點(diǎn)，微軟為打不代表任何實(shí)體 (即不代表微軟)。安全ericlaw 曾是團(tuán)隊(duì)挺珠海金灣找外圍空姐（外圍）vx《749-3814》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá) Office、IE 和 Edge 的工程告攔工程師，現(xiàn)在是師力 Microsoft Defender 團(tuán)隊(duì)產(chǎn)品經(jīng)理。

關(guān)于 Google Chrome Mainfest v3 API 引起的展計(jì)爭議非常多，其中最大的擊廣截爭議就是 MV3 限制了廣告擴(kuò)展程序的能力，因此這被廣泛認(rèn)為是陰謀谷歌打擊廣告攔截?cái)U(kuò)展程序，維持自家的論藍(lán)廣告業(yè)務(wù)，廣告是點(diǎn)網(wǎng)谷歌的支柱業(yè)務(wù)之一。

不過 ericlaw 認(rèn)為這種說法其實(shí)是微軟為打陰謀論，因此 Chrome 團(tuán)隊(duì)的安全本質(zhì)目的是減少擴(kuò)展程序 API 的濫用，這牽涉到嚴(yán)重的團(tuán)隊(duì)挺隱私和安全問題。

為什么說舊版本的風(fēng)險(xiǎn)很大：

在舊版本中，擴(kuò)展程序可以在所有網(wǎng)站上讀取和改變數(shù)據(jù)、師力珠海金灣找外圍空姐（外圍）vx《749-3814》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)修改隱私設(shè)置等。對(duì)大多數(shù)普通用戶來說，根本不會(huì)仔細(xì)研究這些權(quán)限請(qǐng)求的區(qū)別，直接安裝這些擴(kuò)展同意這些授權(quán)。

如果用戶授予了上述權(quán)限，那么惡意擴(kuò)展程序可以讀取用戶的電子郵件、向整個(gè)地址簿發(fā)送釣魚郵件 (即網(wǎng)頁版的郵件)、從網(wǎng)盤中刪除文件或添加惡意文件、把惡意文件分享給你的好友、在 X/Twitter 賬號(hào)上發(fā)布廣告等等。

提供這種級(jí)別的瀏覽器訪問權(quán)限比密碼泄露的風(fēng)險(xiǎn)還要大，因?yàn)椴簧倬W(wǎng)站使用 2FA 驗(yàn)證，即便密碼泄露黑客也不一定能登錄，但 2FA 對(duì)惡意擴(kuò)展無效，因?yàn)橛脩粢呀?jīng)自己登錄了網(wǎng)站。

還有供應(yīng)鏈攻擊問題：

ericlaw 還提到有些情況下，擴(kuò)展程序作者可能并不是惡意行為者，但他們可能會(huì)在無意中被黑客劫持，例如賬號(hào)被劫持替換成惡意擴(kuò)展、開發(fā)者不慎使用了帶有后門的庫，這都會(huì)導(dǎo)致用戶遭到威脅。

事實(shí)上這種情況已經(jīng)發(fā)生過多次，例如：近期多個(gè)谷歌瀏覽器擴(kuò)展程序開發(fā)者遭到釣魚攻擊

還有種灰色產(chǎn)業(yè)鏈，一些攻擊者會(huì)付費(fèi)給開發(fā)者要求接管擴(kuò)展程序的分發(fā)，當(dāng)攻擊者在擴(kuò)展程序里添加后門并通過谷歌審核后，這些擴(kuò)展同樣會(huì)被 Chrome 自動(dòng)更新，進(jìn)而威脅到很多用戶。

支持 MV3 API：

ericlaw 稱在過去幾年里，Chrome 團(tuán)隊(duì)一直在努力減少新的 MV3 系統(tǒng)被濫用的風(fēng)險(xiǎn)，但專家和其他人已經(jīng)傳播了精心設(shè)計(jì)的陰謀論(嗯…這么來說藍(lán)點(diǎn)網(wǎng)也是傳播者之一)，認(rèn)為這是谷歌打擊廣告攔截器的一種方式，以保護(hù)谷歌的商業(yè)利益 (ericlaw 強(qiáng)調(diào)：這是一個(gè)特別愚蠢的說法，因?yàn)楣雀鑿V告在新系統(tǒng)中是可以屏蔽的)。

那么人類應(yīng)該做什么呢？盡可能少地使用擴(kuò)展程序，盡可能使用瀏覽器內(nèi)置的功能，定期在 about:extension 中刪除不需要和不認(rèn)識(shí)的擴(kuò)展程序，定期檢查你的以及你家人的擴(kuò)展程序。

如果你從事 IT 安全行業(yè)，應(yīng)該了解擴(kuò)展程序的風(fēng)險(xiǎn)幾乎傳統(tǒng)惡意軟件一樣大，因此應(yīng)該制定一項(xiàng)策略，通過阻止某些權(quán)限來幫助您的企業(yè)免受惡意擴(kuò)展程序的侵害，Chrome 和 Edge 都提供了相關(guān)組策略可以控制。

甚至你還可以在公司內(nèi)部創(chuàng)建 Web Store，僅允許員工安裝 IT 安全團(tuán)隊(duì)審查過后的擴(kuò)展程序，這將有助于防范供應(yīng)鏈攻擊，有關(guān)這方面的更多信息可以查看這份谷歌發(fā)布的 PDF。