這是 Google Chrome 的瀏覽器擴充， 主要是增加Steam的物品庫交易功能， 今天更新後要求新權限"讀取所有造訪網站的資料"， 注重網路隱私的建議移除。 替代方案 userscript 使用者腳本 https://github.com/Nuklon/Steam-Economy-Enhancer SteamCN的介紹 https://steamcn.com/t310798-1-1 ************************************************** 官方更新釋出前聲明： 短網址 https://goo.gl/xfjxFE 原連結 http://steamcommunity.com/groups/SteamInventoryHelper#announcements/detail/2694698722699380319 為了和合作網站溝通，這次更新包含新權限要求， 你會看到"讀取及變更造訪網站的所有資料"通知， 這只是Google的原則要求，不用驚慌， 我們不會讀取或變更你的資料， 也會放上隱私政策連結讓你放心。 ************************************************** 更新釋出後reddit熱門文章： 警告: Steam Inventory Helper 包含危險權限 https://redd.it/70xofs 原碼分析： Steam Inventory Helper (SIH) 瀏覽器擴充 會載入所有開啟的網頁，甚至是about:blank空白頁 監控何時進入網站、何時滑鼠點擊/移動、 何時開始輸入文字(不是鍵盤側錄，只記錄動作時間) 當你點擊連結時，會將網址回傳到 steamih.com/box/monit 結論：盡快移除! ************************************************** 查了一下原來在 2016-05 就已經轉手賣人 SIH browser extension has been sold http://steamcommunity.com/groups/honestmerchants/discussions/1/364042262875289164/ ************************************************** 類似案例 2015-09-30 CrxMouse會上傳你所有瀏覽的網頁 http://bbs.kafan.cn/thread-1693616-1-1.html 2017 01/11 #1OTNsa_v [-GC-] 新版 Stylish 開始蒐集使用者資訊 03/13 #1OnVxxje [-GC-] 又一擴充元件在更新中偷偷放入廣告軟體 06/27 #1PKJnRkr [-GC-] Betternet 6/25 被植入廣告(6/27 修復) 文內提供的惡意擴充列表 http://chromepeeps.blogspot.com/p/list-of-malware-and-problematic.html 07/12 #1PPP2Vo2 [-GC-] 注意 Youtube Plus 更新要求新權限 09/09 #1PisfPSS [-GC-] Chrome User-Agent Switcher 疑似為木馬! 流程：轉賣/被駭 → 加料 → 自動更新 → 使用者發現 → 檢舉 要是擴充原本就有讀取變更所有網站的權限， 自動更新加料的話你根本就不會知道， 更新上架推送，商店都不用審核的嗎？ 越來越頻繁的案例真的很扯…根本就是木馬後門。 現在只能避免安裝有變更所有網站權限的擴充， 也盡量改用userscript，至少看得到原碼，更新也會通知。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.135.109.115 ※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1505791428.A.950.html 已經有大大在 Steam 板翻譯 SIH 官方後續公告 文章代碼: #1PmOAp9t (Steam) 文章網址: https://www.ptt.cc/bbs/Steam/M.1505854131.A.277.html 簡單整理： 1. 更新推送前公告 https://goo.gl/xfjxFE “read and change all your data”, this is just a Google principle 讀取修改所有資料只是Google的規定 we won’t read and change your data 我們不會讀取修改你的資料 2. 更新後 reddit 網友抓包回傳所有瀏覽紀錄 https://redd.it/70xofs 3. SIH官方道歉，表示會下架並重新上傳無權限版本 https://archive.is/vYC3h (原公告已刪除) 4. SIH官方刪除道歉公告，另發新公告 https://goo.gl/C7NRXy 表示 Google Analytics 提供的統計資料太少， 我們收集資料的作法跟瀏覽器 Cookie 沒兩樣， 我們將會繼續收集資料開發 SIH， 收集資料的 SimilarWeb 公司也受到 Google 信任。 說我們 keylogger 側錄和轉賣資料的人都瘋了， 我們從來不騙人，免費給你用還要被罵，哭哭。 更新前說是 Google 要求權限，我們不會收集資料。 被抓包後說 Google 統計資料太少，我們要繼續收集資料開發。 都是 they 的錯 XD ************************************************** 補充替代方案 userscript 使用者腳本 https://github.com/Nuklon/Steam-Economy-Enhancer SteamCN的介紹 https://steamcn.com/t310798-1-1 ※ 編輯: mkz6 (220.135.109.115), 09/20/2017 12:51:11 你拿 userscripts.org 時代的腳本來說嘴… 各種盜原碼加料上傳的始祖，真是嚇屎人惹 XD 跟現在 Google 商店的情況倒是有87%相似， 差別在腳本安裝前你可以先看到原碼， 腳本更新後你可以選擇是否安裝， 大部分的惡意腳本都是亂槍打鳥， 不懂原碼也可以看評論/上傳日期來判斷， 頂多只能騙騙沒經驗的使用者。 反觀GC擴充功能， 只要取得讀取變更所有網站資料的權限， 配上一直放行各種惡意代碼的商店審核， 今年就已經有許多知名且熱門的擴充出包， 都是更新推送後才被使用者發現檢舉， 也難怪會有新聞說駭客鎖定擴充開發人員網釣， 或者買斷擴充，都是因為可以輕鬆加料推送給使用者， 你跟我說腳本比擴充危險？？？ 麻煩您舉幾個今年熱門腳本出包的例子好不好 ^_^ ※ 編輯: mkz6 (220.135.109.115), 09/21/2017 09:02:41 userscripts鏡象站截圖 https://i.imgur.com/tjnppS4.png 我前面已經說了好幾遍了… 擴充功能會在沒有任何通知的情況下自動更新， 如果原本就有"讀取變更所有網站資料"的權限， 就不會跳出權限變更的提示， 就算更新夾帶惡意代碼，也只能先裝了再說… 使用者腳本更新不但會通知，還可以選擇是否要安裝新版本。 腳本比套件危險是您自己在前面推文說的， 您現在要改口沒問題，我也沒有意見 ^_^ 所以是我才發文讓大家注意擴充功能的權限問題啊！ 難道擴充功能一直出包是我的錯嗎？ XD ※ 編輯: mkz6 (220.135.109.115), 09/21/2017 11:07:10