注意：本文作者 ericlaw 強(qiáng)調(diào)僅代表個人觀點，微軟為打不代表任何實體 (即不代表微軟)。安全ericlaw 曾是團(tuán)隊挺成都成華外圍美女服務(wù)vx《189-4143》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá) Office、IE 和 Edge 的工程告攔工程師，現(xiàn)在是師力 Microsoft Defender 團(tuán)隊產(chǎn)品經(jīng)理。

關(guān)于 Google Chrome Mainfest v3 API 引起的展計爭議非常多，其中最大的擊廣截爭議就是 MV3 限制了廣告擴(kuò)展程序的能力，因此這被廣泛認(rèn)為是陰謀谷歌打擊廣告攔截擴(kuò)展程序，維持自家的論藍(lán)廣告業(yè)務(wù)，廣告是點網(wǎng)谷歌的支柱業(yè)務(wù)之一。

不過 ericlaw 認(rèn)為這種說法其實是微軟為打陰謀論，因此 Chrome 團(tuán)隊的安全本質(zhì)目的是減少擴(kuò)展程序 API 的濫用，這牽涉到嚴(yán)重的團(tuán)隊挺隱私和安全問題。

為什么說舊版本的風(fēng)險很大：

在舊版本中，擴(kuò)展程序可以在所有網(wǎng)站上讀取和改變數(shù)據(jù)、師力成都成華外圍美女服務(wù)vx《189-4143》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)修改隱私設(shè)置等。對大多數(shù)普通用戶來說，根本不會仔細(xì)研究這些權(quán)限請求的區(qū)別，直接安裝這些擴(kuò)展同意這些授權(quán)。

如果用戶授予了上述權(quán)限，那么惡意擴(kuò)展程序可以讀取用戶的電子郵件、向整個地址簿發(fā)送釣魚郵件 (即網(wǎng)頁版的郵件)、從網(wǎng)盤中刪除文件或添加惡意文件、把惡意文件分享給你的好友、在 X/Twitter 賬號上發(fā)布廣告等等。

提供這種級別的瀏覽器訪問權(quán)限比密碼泄露的風(fēng)險還要大，因為不少網(wǎng)站使用 2FA 驗證，即便密碼泄露黑客也不一定能登錄，但 2FA 對惡意擴(kuò)展無效，因為用戶已經(jīng)自己登錄了網(wǎng)站。

還有供應(yīng)鏈攻擊問題：

ericlaw 還提到有些情況下，擴(kuò)展程序作者可能并不是惡意行為者，但他們可能會在無意中被黑客劫持，例如賬號被劫持替換成惡意擴(kuò)展、開發(fā)者不慎使用了帶有后門的庫，這都會導(dǎo)致用戶遭到威脅。

事實上這種情況已經(jīng)發(fā)生過多次，例如：近期多個谷歌瀏覽器擴(kuò)展程序開發(fā)者遭到釣魚攻擊

還有種灰色產(chǎn)業(yè)鏈，一些攻擊者會付費(fèi)給開發(fā)者要求接管擴(kuò)展程序的分發(fā)，當(dāng)攻擊者在擴(kuò)展程序里添加后門并通過谷歌審核后，這些擴(kuò)展同樣會被 Chrome 自動更新，進(jìn)而威脅到很多用戶。

支持 MV3 API：

ericlaw 稱在過去幾年里，Chrome 團(tuán)隊一直在努力減少新的 MV3 系統(tǒng)被濫用的風(fēng)險，但專家和其他人已經(jīng)傳播了精心設(shè)計的陰謀論(嗯…這么來說藍(lán)點網(wǎng)也是傳播者之一)，認(rèn)為這是谷歌打擊廣告攔截器的一種方式，以保護(hù)谷歌的商業(yè)利益 (ericlaw 強(qiáng)調(diào)：這是一個特別愚蠢的說法，因為谷歌廣告在新系統(tǒng)中是可以屏蔽的)。

那么人類應(yīng)該做什么呢？盡可能少地使用擴(kuò)展程序，盡可能使用瀏覽器內(nèi)置的功能，定期在 about:extension 中刪除不需要和不認(rèn)識的擴(kuò)展程序，定期檢查你的以及你家人的擴(kuò)展程序。

如果你從事 IT 安全行業(yè)，應(yīng)該了解擴(kuò)展程序的風(fēng)險幾乎傳統(tǒng)惡意軟件一樣大，因此應(yīng)該制定一項策略，通過阻止某些權(quán)限來幫助您的企業(yè)免受惡意擴(kuò)展程序的侵害，Chrome 和 Edge 都提供了相關(guān)組策略可以控制。

甚至你還可以在公司內(nèi)部創(chuàng)建 Web Store，僅允許員工安裝 IT 安全團(tuán)隊審查過后的擴(kuò)展程序，這將有助于防范供應(yīng)鏈攻擊，有關(guān)這方面的更多信息可以查看這份谷歌發(fā)布的 PDF。