By: 23pds@慢雾安全团队 背景

2024 年 6 月 3 日，推特用户@CryptoNakamao 发文讲述其因下载恶意的 Chrome 扩展 Aggr 导致 100 万美金被盗的经过，引起广大加密社区用户对扩展风险的关注和自己加密资产安全性的担忧。在 5 月 31 日，慢雾安全团队发布了披着羊皮的狼｜虚假 Chrome 扩展盗窃分析一文，对恶意的 Aggr 扩展的作恶方式输出了详细分析。鉴于广大用户缺乏浏览器扩展的背景知识，慢雾首席信息安全官 23pds 在本文通过六问六答，讲解扩展的基础知识和潜在风险，提供应对扩展风险的建议，希望能帮助个人用户和交易平台提高保护账户和资产安全的能力。

(https://x.com/im23pds/status/1797528115897626708)
答疑

1. 什么是 Chrome 扩展？

Chrome 扩展(Chrome Extension) 是为谷歌浏览器(Google Chrome) 设计的插件，能够扩展浏览器的功能和行为。它们可以自定义用户的浏览体验，添加新的特性或内容，或者与网站交互。Chrome 扩展通常由 HTML、CSS、JavaScript 以及其他网页技术构建。

Chrome 扩展的结构通常包括以下几个部分：

manifest.json：扩展的配置文件，定义了扩展的基本信息（如名称、版本、权限等）。

背景脚本(Background Scripts)：运行在浏览器后台，处理事件和长期任务。

内容脚本(Content Scripts)：运行在网页上下文中，能够直接与网页进行交互。

用户界面(UI)：如浏览器工具栏按钮、弹出窗口、选项页等。

2. Chrome 扩展有什么作用？

广告拦截：扩展可以拦截和阻止网页上的广告，从而提高网页加载速度和用户体验。例如，AdBlock 和 uBlock Origin。

隐私和安全：一些扩展可以增强用户的隐私和安全性，如防止跟踪、加密通信、管理密码等。例如，Privacy Badger 和 LastPass。

生产力工具：扩展可以帮助用户提高生产力，如管理任务、记笔记、时间跟踪等。例如，Todoist 和 Evernote Web Clipper。

开发者工具：为网页开发者提供调试和开发工具，如查看网页结构、调试代码、分析网络请求等。例如，React Developer Tools 和 Postman。

社交媒体和通讯：扩展可以集成社交媒体和通讯工具，方便用户在浏览网页时处理社交媒体通知、消息等。例如，Grammarly 和 Facebook Messenger。

网页定制：用户可以通过扩展自定义网页的外观和行为，如更改主题、重新排列页面元素、添加额外功能等。例如，Stylish 和 Tampermonkey。

自动化任务：扩展可以帮助用户自动化重复性任务，如自动填写表单、批量下载文件等。例如，iMacros 和 DownThemAll。

语言翻译：一些扩展可以实时翻译网页内容，帮助用户理解不同语言的网页，如 Google 翻译。