微软安全团队工程师力挺Chrome MV3扩展计划 认为打击广告拦截只是阴谋论 – 蓝点网 | {$randkws}热点解读 治愈系文案风波相当多

注意：本文作者 ericlaw 强调仅代表个人观点，不代表任何实体 (即不代表微软)。ericlaw 曾是 Office、IE 和 Edge 的工程师，如今是 Microsoft Defender 团队商品经理。

有关 Google Chrome Mainfest v3 API 引发的清晨本周票房预测，治愈系文案风波相当多，其中最大的风波就是 MV3 限制了广告扩展程序的能力，所以这被广泛觉得是谷歌打击广告拦截扩展程序，维持自家的广告业务，广告是谷歌的支柱业务之一。

可是 ericlaw 觉得这种说法实际上是阴谋论，所以 Chrome 团队的本质目的是缩减扩展程序 API 的滥用，这牵涉到严重的隐私和可靠难题。

为什么说旧版次的隐患很大：

在旧版次中，扩展程序可以在所有站点上读取和改变资料、揭秘戛纳电影节消息更改隐私配置等。对大多数普通使用者来说，根本不会认真探究这些权限请求的区别，直接部署这些扩展同意这些授权。

假如使用者授予了上述权限，那么恶意扩展程序可以读取使用者的电子邮件、向全部地址簿发送钓鱼邮件 (即网页版的假期2025快充技术，知情人透露内情邮件)、从网盘中删除文件或添加恶意文件、把恶意文件转发给你的好友、在 X/Twitter 账户上亮相广告等等。

提供这种级别的阅读器访问权限比密码研究的隐患还要大，由于不少站点使用 2FA 测试，即便密码研究黑客也不一定能登陆，但 2FA 对恶意扩展无效，解读品牌代言Tips由于使用者已然自己登陆了站点。

还有供应链攻击难题：

ericlaw 还谈及有些状况下，扩展程序作者或许并不是恶意行为者，但他们或许会在无意中被黑客劫持，例如账户被劫持替换成恶意扩展、开发者不慎使用了带有后门的库，这都会导致使用者遭到威胁。

事实上这种状况已然发生过多次，例如：近期多个谷歌阅读器扩展程序开发者遭到钓鱼攻击

还有种灰色产业链，一些攻击者会付费给开发者请求接管扩展程序的分发，当攻击者在扩展程序里添加后门并经由谷歌审核后，这些扩展同样会被 Chrome 自动升级，进而威胁到很多使用者。

扶持 MV3 API：

ericlaw 称在过去几年里，Chrome 团队一直在奋斗缩减新的 MV3 操控系统被滥用的隐患，但专家和其他人已然研究了精心设计的阴谋论(嗯…这么来说蓝点网也是研究者之一)，觉得这是谷歌打击广告拦截器的一种方式，以保护谷歌的商业利益 (ericlaw 强调：这是一个尤其愚蠢的说法，由于谷歌广告在新操控系统中是可以屏蔽的)。

那么人类应该做什么呢？尽或许少地使用扩展程序，尽或许使用阅读器内置的特性，定期在 about:extension 中删除不需要和不认识的扩展程序，定期检查你的以及你家人的扩展程序。

假如你从事 IT 可靠行业，应该知晓扩展程序的隐患差不多传统恶意使用一样大，所以应该制定一项策略，经由阻止某些权限来合作您的企业免受恶意扩展程序的侵害，Chrome 和 Edge 都提供了有关组策略可以控制。

乃至你还可以在企业内部兴办 Web Store，仅允许职员部署 IT 可靠团队审查过后的扩展程序，这将有助于防范供应链攻击，有关这方面的更多信息可以查看这份谷歌亮相的 PDF。