这还是Chrome和Firefox吗？阻止卸载劫持浏览器

Posted 2021-04-27 安在

电脑病毒的一大特性是难以从系统当中清除，但浏览器扩展在此前并没有这种流氓行为，现在，一款名为“Tiempo en colombia en vivo”的扩展可能会颠覆认知。

 

这些扩展可以通过在支持扩展的网站上劫持浏览器来强制安装，如果尝试关闭页面，会弹出一个提示，要求添加一个用于退出页面的扩展程序。如果选择取消，另一个弹出窗口会出现一个额外的勾选框，显示“阻止此页面创建额外的对话框”。选中该框，点击“确定”，浏览器将全屏显示，要求安装该恶意扩展。

值得注意的是当安装这个恶意扩展程序后用户将无法删除，因为它会劫持扩展程序管理界面让用户无法加载。

当用户试图加载Chrome://extensions/扩展程序管理页面后，会被强制跳转到Chrome://apps/这个页面上。

 

于是用户无论怎么做都无法打开扩展程序管理页面因此无法删除，想删除的话还需要某些特殊的办法才可以。

 

也就是说，当Chrome用户尝试通过浏览器的扩展页面删除该扩展时，浏览器将被重定向到一个假的扩展管理页面阻止卸载，火狐浏览器上，恶意扩展将阻止用户访问about：addons内建页，手段如出一辙。

 

其实，要想清除扩展也不难。Chrome的方式是在chrome.exe之后添加“-disable-extensions”（更新：指的是在Chrome程序exe右键“属性”，在“目标”对话框添加启动参数），或者在extensions文件夹中重命名“1499654451774.js”文件，火狐浏览器则可以在安全模式下启动火狐浏览器，并删除没有激活的恶意扩展。

 

安全人员表示，目前在Chrome和Firefox浏览器上出现的这些恶意拓展劫持了浏览器，令人意外的是可以重定向到YouTube视频或劫持搜索者网页，以增加点击量或者访问量。

 

除了上述办法，针对此类型的恶意扩展用户还可以通过浏览器内置的任务管理器来进行处理，直接将这个恶意扩展的进程强制退出掉。退出后扩展程序管理界面基本可以正常打开然后就可以删除这个扩展了，但有时候这种办法也不能顺利删除。

 

对于程序员而言，最简单的方法是打开谷歌浏览器安装文件夹，然后找到恶意扩展的路径，将其核心 javascript 脚本重命名。当恶意扩展的 JavaScript 脚本被重命名后，重启谷歌浏览器会显示扩展程序损坏，这时候同样可以直接删除。

 

不管是谷歌浏览器还是火狐浏览器都有大量的扩展程序， 这些扩展程序都能获得多种不同的访问权限。

但是，浏览器本身的设置页面无论如何都不应该被劫持的， 作为浏览器的开发者至少应该将设置页加入白名单中。

 

在Firefox中，这个问题相对容易规避，但对于Chrome来说，需要大量的工作，所以我们建议解决问题的最快方法是将其报告给Chrome或您最喜欢的安全解决方案，以便它们可以处替用户处理这些恶意扩展。

 

经过这次的事件或许后续谷歌和火狐浏览器都会禁止扩展重定向设置页面， 具体如何让我们等待后续的更新。

- 推荐阅读 -

☞