用户瀏覽器被阿里私自【託管】？仔細一查，這事並不簡單_風聞

轉載自微信公眾號“IT之家”

大家好，我是啓人。

可能很多挨踢友之前都有過瀏覽器被人私自篡改的經歷。

比如強制更改首頁，替換默認搜索引擎。

不過這種情況在各種驅動級（也就是內核級）電腦管家的強力封殺下，現在基本不存在了。

但是，千萬不要以為有了電腦管家就可以高枕無憂。

道高一尺魔高一丈。

關於安全的攻防，其實一刻都沒有停止。

阿里託管用户瀏覽器

8 月 4 日晚，微博上一位名為極樂亭的網友發文表示：

他突然發現自己的 Chrome 瀏覽器被某單位託管了。

點進去一看，處於被託管狀態下的 Chrome ，企業管理員可以操作他的瀏覽器，給他安裝任意應用、不讓他用任意功能、監控他的一舉一動。

他心裏一驚，趕緊排查 Policies 和註冊表。

最後確認，是阿里系軟件安裝了個插件，直接託管了他的瀏覽器。

（從下圖來看，應該是阿里旺旺）

而且在很久之前，他的電腦就可能一直處於阿里的【託管】下。

只是最近 Chrome 更新，能夠提示用户了，這才把阿里暴露出來。

Chrome 被託管能幹什麼

按常理來説， BAT 等公司應該只管理自己的員工。

被加入企業域的員工，可受到管理員各種各樣的限制。

比如：

讓你必須用什麼頭像。

不讓你上什麼網站。

允許或不允許你安裝什麼插件。

當然，最致命的還要屬證書能被控制。

這相當於管理員直接拿着用户的家門鑰匙。

用户變成了租户，管理員變成了房東。

那麼阿里做了什麼

Chrome 的託管能力這麼強大，這事又事關阿里，事關隱私。

啓人馬上跑去找到了【IT之家】的技術團隊，詢問一下他們的專業意見。

我問了技術團隊三個問題：

1、什麼情況下，我的瀏覽器會被阿里託管？

2、阿里加進來想幹嘛？

3、阿里加進來又能幹嘛？

咱們一個一個説。

什麼情況下會被託管

從網友發來的反饋來看，問題主要集中在阿里旺旺和支付寶安全控件上。

不過 IT之家 技術團隊中，有兩位同時裝有這兩個軟件的工程師。

一位中招了，一位沒中招。

為什麼呢，原因後文説。

阿里加進來想幹嘛

照理來説，我們不應妄自揣度阿里的想法。

不過從阿里的實際做法，大概可以看出一二。

通過 Chrome Policies 查詢，我們發現，阿里設置的權限，名為 EnabledPlugins 。

這個權限可以限制用户禁用其插件。

換句話説：阿里要這個權限，可以保證自己軟件的存活。

不被競爭對手幹掉，不被用户幹掉。

這一幕，是不是非常像安卓上的全家桶互相喚醒大戰。

呵呵。

阿里加進來能幹嘛

這可能是大家最關心的問題了。

其實答案非常簡單：

阿里現在什麼都幹不了。

EnabledPlugins 權限早已被谷歌官方棄用，現在已是廢人一個。

（DEPRECATED：棄用的意思）

這也側面證實，阿里在很早以前就這麼幹了，現在變成了歷史遺留問題。

通過在瀏覽器上搜索“阿里 託管 瀏覽器”關鍵詞可以發現。

其實早在今年 3 月，就有網友發現了這個問題。

如何刪掉

刪除之前，首先確認你是否中招。

先把 Chrome 瀏覽器升級到最新，然後點擊菜單右上角，也就是頭像右邊那 3 個點。

如果你彈出來的菜單最下方有“由貴單位管理”，那你就是中招了。

接下來，直接在瀏覽器地址欄輸入：

Chrome://policy

你會看到 EnabledPlugins 這條。

接下來打開註冊表編輯器（打開方法為在“運行”中輸入：regedit）。

定位到這條：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome

然後把 EnabledPlugins 文件夾整個刪掉。

最後，重新開啓瀏覽器，“由貴單位管理”的狀態就會消失了。

最後

其實，瀏覽器被託管這事，不光阿里幹了。

據網友反饋：

騰訊也幹了。

網易也幹了。

搜狗也幹了。

還有各種沒點到名的廠商，他們也幹了。

Windows 的環境，好像正在走安卓的老路…

算了，多了啓人就不吐槽了。

還是來説説，為啥我們兩位工程師，一位中招了，一位沒中招吧。

大家還記得運行各種程序之前，Windows 都會彈出確認提示嘛…

只要你不點確定，程序就得不到管理員權限。

得不到管理員權限，你就不可能中招。

是的，唯一的解釋就是，我們的程序員點【確定】了…

當然，現在很多程序會打着“您有安全漏洞”或“組件不完整”幌子誘導用户點確定。

我們的程序員都不能保證 100% 安全，又怎麼能把網絡安全的大鍋甩給普通用户呢？

説到底，隱私安全這事，可能真得看各廠的三觀了。

這事其實挺可悲的。