百度盘高速下载扩展 baidu-dl 开发者声明以及恶意扩展 baidudl 的一些疑问

baidu-dl 是一款 Chrome 扩展,主要用来直接获取百度盘的下载链接,以及高速下载链接。昨天晚上 @kfll 发布了恶意扩展、恶意插件周知: baidudl 一文,指出在 Chrome 商店中的 baidudl 为恶意扩展,会盗取用户的 Facebook Token 到指定的服务器(证据),而开发者 @KyleKyle 已经发出声明请各位尽快卸载恶意版本,更换为新版本。@Appinn

百度盘高速下载扩展 baidu-dl 开发者声明以及恶意扩展 baidudl 的一些疑问 1

感谢 @vinyl 的提醒,我们在第一次文章更新时只更换了链接,并未作出任何说明。在了解以及核实事情后,已经在原文中做了详细的更新。不过由于涉及到恶意扩展,有必要再一次更新,就是本文了。

根据青小蛙掌握到的事实,下面以时间先后顺序描述本次争议事件(具体时间无暇核实):

最早,开发者 @KyleKyle 在 GitHub 发布项目 baidudl,并且提供了 Chrome 扩展商店地址(此商店地址后来变成了恶意扩展,才引发了此次事件)

一段时间之后,在 Chrome 上的版本出现无法使用的情况,不过此时通过 GitHub 安装的开发者版本可以正常使用(此段为青小蛙的回忆,并未有来源能够核实)。

2018 年 1月份,开发者对 Chrome 上的版本失去控制(来源1来源2

1. 我在一月份的时候就已经失去了对原先插件的控制,所以后来重新上传了一个插件。即使意识到了原先的插件失去了控制,我也未能即使意识到可能的危害,所以我只是在 github 上通知了用户,未能即时举报以及在 README 中说明问题。

2. 抱歉。由于一些特殊原因,chrome商店里的插件我没法更新了。之后会考虑自己申请一个账号换个名字上架。

2018 年 1 月 25 日,开发者在 Chrome 商店上传了新的扩展,并提供了商店链接(此为正版扩展,可以安装),此时扩展名已更改为 baidu-dl。根据 GitHub 记录,2 月27 日开发者修改了页面介绍,并将旧链接更换为了新链接。

2018 年 4 月27 日,旧版 baidu-dl 扩展在 Chrome 最近一次更新,版本号 1.4.3,目前尚不清楚该扩展什么时候变为恶意扩展的,此时 GitHub 上的版本依旧为 1.4.2(1月26日更新)。

百度盘高速下载扩展 baidu-dl 开发者声明以及恶意扩展 baidudl 的一些疑问 2

2018 年 5 月 8 日凌晨,@kfll 发帖质疑恶意版本,早上青小蛙发觉恶意扩展链接曾经出现在官方界面介绍页面(来源

2018 年 5 月 8 日下午,开发者在 GitHub 以及小众软件留言,对恶意扩展事件作出声明,以及对没有及时在 README 中说明问题进行道歉。

结论

目前该扩展在 Chrome 商店正常可用、安全的版本地址是这个,请任何无法确定安装来源的同学先卸载就扩展,再次安装。如果是通过 GitHub 下载安装,可以忽略这个问题,GitHub 的开发者版本一直是正常安全版本。

再次,如果有其他疑问,可以在本文留言,也可以在 GitHub 联系开发者

最后,青小蛙把本次事件命名为:baidu(-)dl 事件

20 条留言

    • 青小蛙 2018/10/30 回复

写留言