BTC $62,564.61 -0.45%
ETH $1,783.77 +0.13%
BNB $569.99 +0.20%
XRP $1.06 -0.83%
SOL $75.08 -1.24%
TRX $0.3247 -1.74%
DOGE $0.0719 -0.21%
ADA $0.1575 -1.02%
BCH $233.53 -1.30%
LINK $7.92 -0.07%
HYPE $63.10 -5.13%
AAVE $96.06 +1.38%
SUI $0.7233 -0.77%
XLM $0.1784 -2.59%
ZEC $504.99 -2.65%
BTC $62,564.61 -0.45%
ETH $1,783.77 +0.13%
BNB $569.99 +0.20%
XRP $1.06 -0.83%
SOL $75.08 -1.24%
TRX $0.3247 -1.74%
DOGE $0.0719 -0.21%
ADA $0.1575 -1.02%
BCH $233.53 -1.30%
LINK $7.92 -0.07%
HYPE $63.10 -5.13%
AAVE $96.06 +1.38%
SUI $0.7233 -0.77%
XLM $0.1784 -2.59%
ZEC $504.99 -2.65%

慢雾余弦:用户需注意浏览器扩展的权限申请并且要有隔离思维

2025-03-14 21:45:23
收藏

ChainCatcher 消息,慢雾余弦在 X 平台发文称:“一个扩展要作恶,比如偷目标页面的 Cookies、localStorage 里的隐私(如账号权限信息、私钥信息),DOM 篡改,请求劫持,剪切板内容获取等等。在 manifest.json 做相关权限配置即可。用户如果没注意扩展的权限申请,就麻烦了。

但一个扩展要作恶,想直接搞其他扩展,比如知名钱包扩展,那还是不容易的…因为沙盒隔离了…比如想直接偷走钱包扩展里存储的私钥/助记词有关信息是不大可能的。如果你担心某扩展的权限风险,要判断这种风险其实很容易,安装扩展后可以先不使用,看下扩展 ID,搜索到电脑本地路径,找到扩展根目录下的 manifest.json 文件,把文件内容直接扔给 AI 做权限风险解读即可。如果有隔离思维,可以考虑给陌生扩展单独启用 Chrome Profile,至少作恶可控,绝大多数扩展没必要一直开启。”

app_icon
ChainCatcher 与创新者共建Web3世界