完全依靠自动化审查的扩展商店更容易受到虚假和恶意扩展的影响,Chrome Web Store 就属于这类,如今这个商店的扩展程序越来越多,但与此同时受到虚假与恶意扩展的影响也越来越大,最新增加的一个虚假扩展叫做 Microsoft Authenticator。
单从这个扩展的名称来看,似乎表明它是微软的一个官方产品,但实际上它并不是。从下方的 「offered by」 来看,提供该扩展的公司不是微软公司,而是「Extensions」,这个名称也十分具有误导性,这说明该扩展并非微软官方出品。
在被下架之前,该扩展在商店已被 448 名用户下载使用,综合评价为三颗星。而且这个虚假的扩展自 2021 年 4 月 23 日以来,就一直在商店里。
如果用户愿意花些时间进一步查看就会发现更多问题,其中开发者的电子邮件地址看起来就像是用来发送垃圾邮件的地址,而且使用的是 Gmail 地址,而不是微软的官方邮箱。而且在该扩展的评论中,就有来自其他用户发出的警告。
快速查看一下微软官方的 Authenticator 主页就会发现,官方 Authenticator 目前仅有 Android 和 iOS 移动端应用程序,以及微软商店 Windows 版本,目前并没有浏览器扩展程序。
这个虚假的微软验证器实际上也不能用于验证微软账户或其他任何网站的登录。点击后只会打开一个波兰语的网页,该网页会重定向到另一个要求登录或创建账户的网页,可能会用于窃取用户账户信息。
虽然 Google 已经从商店删除了该扩展,但它在商店里已上架了近一个月的时间,让人们不由得对 Google 在这方面的安全性感到担忧。