我担心一个Chrome扩展程序为用户提供了与其开源代码库不同的代码。该扩展程序是MetaMask,一个加密货币钱包,最近被发现向用户访问的每个网站注入唯一标识符,尽管他们说他们没有。我现在听说MetaMask还可以充当DNS解析器,这对于一个欺骗性的应用程序来说是很大的力量。
从网上商店下载此Chrome扩展程序并将其哈希值与开源代码的构建进行比较的最佳方法是什么?是否有任何现有的Chrome扩展程序或网站可以更容易地做到这一点,即直接将github repo与Chrome网上商店上的内容进行比较?
2条答案
按热度按时间ryevplcw1#
第一步:获取源代码
1.进入
chrome://extensions/并在右上角激活开发者模式。1.点击扩展名的详细信息,找到扩展名ID (将是一长串随机字符)
1.找到您的Chrome配置文件的扩展文件夹
find ~ -type d -iname <extension_id>(填写分机号)find的结果将显示一个包含扩展(很可能是压缩的)源代码的文件夹。第二步:自己构建源代码
1.通过git克隆源代码(
git clone [[email protected]](https://stackoverflow.com/cdn-cgi/l/email-protection) :MetaMask/metamask-extension.git)1.按照扩展构建指南中的步骤进行操作
第三步:比较两者
1.在这两个文件夹上递归运行
diff,folder 1可以是自带的源代码,folder 2可以是您自己构建的源代码。diff -r folder1/ folder2/个diff将给予你在代码/文件/等方面的确切差异。这可能是很多的,将不得不手动检查,找出什么是真实的差异.omqzjyyz2#
2020年是Chrome扩展可信度糟糕的一年,但它也揭示了一些正在广泛使用的恶意技术。最常见的是加载和执行动态脚本或在满足某些条件时有条件地执行混淆代码。
仅仅通过静态分析,你不太可能发现扩展是否是恶意的。否则,Chrome Web Store会在提交时标记扩展。我认为只有安全Maven领导的Chrome扩展安全扫描才能真正确定扩展是否安全。