博士:一个 VPN 服务抄袭了我们的扩展设计,他们使用了我们的 API 服务器,并以不安全的方式实现了他们的浏览器代理服务。 我们将此公布于众,是为了避免有人指责我们抄袭了他们的设计,而不是反过来指责我们。
通常情况下,我们不会把矛头指向他人,以强调不安全/不良的实现方式,但这是我们行为中的一个例外。
今天,我们从我们的一位客户那里发现,TorGuard'的代理扩展看起来与我们的非常相似(网络商店/官方网页). 我们对调查结果进行了调查,证实它主要是山寨版(见我们的鸣叫).
我们的 Chrome 浏览器扩展于 2014 年 12 月 17 日首次发布;火狐浏览器扩展于 2015 年 4 月 19 日首次发布。 他们的 Chrome 浏览器扩展于 2015 年 5 月首次发布。 公告、用户数量/评分、SSL 证书日期可作为证据,确认哪个是最先创建的。
这就是比较我们的应用程序版本 1.6.x(镜面)的 Chrome 浏览器/当前版本为 1.0.1 的 Firefox 浏览器和 Torguard's 的当前版本。
即使是没有受过专业训练的人,也能非常明显地看出设计上的相似之处。
对于那些不熟悉 Chrome 浏览器扩展开发的人来说,需要注意的是:由于不是封闭源代码,代码很容易被检查。 像CRX 源代码查看器可用于直接查看 Webstore 中的代码。 或者下载 .crx 文件,解压缩后查看。
不仅设计相似,它们还使用相同的地理位置 API 服务器地址(上图对比中突出显示)。 这是我们自己的地理IP API我们内部使用的服务器(用于软件、扩展等)。托管此图片在 API 服务器上,以证明它是我们的,以防有人怀疑。
#@#Fyi, using someone else's API servers, as uu加速器优惠码 service, is a very irresponsible mistake - just terrible from a security & privacy point of view. What they do by using someone else's servers such as our API service, essentially, is to expose all their Chrome Proxy users' IPs to a competitor. We don't interfere with the queries in any way, but you should be aware that a malicious competing service could make use of such opportunity to log IPs of users or even worse, redirect them or forge the JSON replies to mess-up with the extension functionality: e.g. trolling scenario where connected location will display "#@#马里兰州米德堡无论实际网关 IP 位于何处。
现在谈谈安全部分。 并不是我们应用程序中的所有内容都被复制了(他们漏掉了好的部分!),例如凭证的存储和通过 JSON 查询更新活动服务器:
-
Torguard将证书存储在明文我们是对通过的数据进行XOR处理以防止间谍软件到处搜索明文凭据;
复制:添加一些凭证并保存它们> 右键单击扩展> 检查弹出窗口> 资源> 本地存储 -
Torguard通过HTTP获取最新的代理网关列表(同样在明文);我们通过 HTTPS (Qualys评级A+/镜像结果): 从 Torguard's背景.js从我们的背景.js;
通过HTTP提供服务器IP的明显风险是,它们很容易在MitM攻击中被劫持; -
Torguard'HTTPS 代理非常不安全:使用 RC4 等不安全的密码,支持 SSL 3,易受 POODLE 攻击,不提供前向保密。 获得可耻的网格 CQualys测试。 测试结果镜面1, 镜面2(查看原始结果)。 这是我们的成果/镜面(启用FS,无弱密码,仅支持TLS 1.1和1.2);
给 Torguard 的建议:在复制别人的作品时,也请考虑一下你的用户。 不要向用户承诺匿名;#@#(a false promise as uu加速器优惠码 service, but that's a different topic) and "security" unless you do it correctly, at least to a reasonable degree.#@#
我们要求 Torguard 就此事道歉,并敦促 Torguard 进行必要的设计和修改;修改代码,以减少其 Chrome 扩展是公然的、不道德的模仿。
干杯!
更新 1:他们承认 (镜面1, 镜面2)今天早些时候将我们的地理 API 服务器从他们的应用程序中移除,但对山寨设计没有意见。
更新 2:他们更新了 Chrome 浏览器扩展,增加了凭证加密功能。 他们还确保了 HTTPS 代理服务器的安全(从 C 级变为 B 级)。镜面). 扩展设计保持不变。 镜像托管其扩展版本 0.1.69:巨型, 我们的 CDN(也可以解压缩)
镜像托管我们之前的 1.6.4 版本,该版本已被复制:我们的 CDN