仅几 MB 大小的跳广告、下载神器，成了翻车的重灾区

浏览器作为检索信息、获取资源的工具，是大部分用户不可或缺的。

随着 Edge 转为 Chromium 内核，Windows 平台基本只剩下 Chrome 和 Chromium 系浏览器。

不管是 Chrome、Edge 还是国产浏览器，他们都有着一个强大功能 - 浏览器扩展。

通过在线/离线安装扩展插件，可以实现许多神奇功能。

我们之前也写过在安装、使用教程以及好用的扩展推荐：好人一生平安，浏览器外挂功能打开新世界大门 。

能轻松获取各种神仙扩展，Chrome 应用商店（Edge 扩展商店）提供了一个不错的平台。

但大家在安装使用各种扩展时，可不能忽视其中的威胁。

Almost Secure 的安全研究员指出 Chrome 应用店中存在不少扩展携带恶意代码。

用作举例的是一款名为 PDF Toolbox （工具箱）的扩展。

它具有 Office 文档转换、PDF 合并、图片转 PDF 等功能，下载量超200万，评分也达到了不错的 4.2 。

然而在实用、良心的外表下，它其实是个 API 包装器。

它可以向所有网站注入任意 JavaScript 代码，轻则注入广告，重则盗取信息甚至财产。

这种情况不是个例，在其有限的检查分析后发现了许多有类似恶意代码的扩展。

像什么视频跳广告、下载器方面的扩展是重灾区。

不到半个月时间，总共增加到了34个，总计下载量超7500万。

讽刺的是，这里面大部分扩展还被 Chrome 应用商店 精选 。

恶意扩展泛滥，主要还是太易于制作和分发了，Google 的审核似乎也没有那么严格。

并且即便从商店中删除，已安装的扩展将仍存在于用户电脑上，也不会有安全提示。

由于其基于浏览器执行的特殊性，现有的杀毒软件，也无法检测扩展程序、拦截危险。

所以只有尽量避免安装有风险的扩展，如果已安装就手动卸载。

对于有特定网站使用的扩展还可以设置指定网站来尽量减少风险。

不过呢，Google 今年就快正式推出的 Mainfest V3  扩展程序平台有望在一定程度上缓解恶意扩展乱象的情况。

移除任意字符串执行权限等措施，在安全性方面或许能得到提升。

稳定版推出时间预估为6月后的 1-n 个月，取决于测试情况。

届时，可用的扩展、功能范围、安全性方面都会有比较大的改动，到时候浏览器生态可能又会完全不一样了。