很早以前就聽說過Chrome插件有流氓行為，不過“單純”的我認為只是非Chrome web store渠道下載的插件才會這樣，所以一直沒放在心上。傻傻認為能通過審核的插件都是“好插件”，不過今天才發現事情不是那么簡單。

我們的主角是一個很火的網頁截圖插件：Awesome Screenshot

在可以Chrome web store中看到他的火爆程度以及良好的評價：

在添加插件的時候，Chrome會提醒你它所需的權限：

注意第一點“讀取并更改你訪問的網站的所有內容”，這個看起來有點屌啊，當時安裝的時候還沒注意這點...不過我猜大多數普通用戶會和我一樣，直接點擊“Add”（都tm通過審核了還能做出什么鬼事？我當時就是這么想的）

接下來令人愉快的故事就要發生了，duang～

剛才想寫個全自動小腳本，于是乎開始抓包：

隨便來個請求：

咦？第一個是我的請求，然后為何突然POST兩下呢？

查看一下POST數據：

Base64編碼兩次，解密后發現...

我了個大槽啊，我剛才發的請求、參數全在里面了....心中一堆動物呼嘯而過...

看了一下Origin：

檢查了下插件...擦！就是這個Awesome Screenshot！

之后隨機測試了一下其他網站，果然也是一樣的，會向s*.crdui.com發送請求，然后谷歌之：

誒...防不勝防...

劫持流量的事兒估計它也能干的出來，畢竟有修改網頁數據的權限，有興趣的朋友們也可以驗證下。

五星評價的“優秀”插件，也能做出如此流氓的事情，￥！&&＃（％＃@～～！

廢話不多說了，在這提醒大家在安裝插件的時候不要盲相信、注意權限。

互聯網無隱私。