用户浏览器被互联网大厂私自【托管】？仔细一查，这事并不简单

来源：IT之家作者：启人/实习

大家好，我是启人。

可能很多挨踢友之前都有过浏览器被人私自篡改的经历。

比如强制更改首页，替换默认搜索引擎。

不过这种情况在各种驱动级（也就是内核级）电脑管家的强力封杀下，现在基本不存在了。

但是，千万不要以为有了电脑管家就可以高枕无忧。

道高一尺魔高一丈。

关于安全的攻防，其实一刻都没有停止。

阿里托管用户浏览器

8月4日晚，微博上一位名为极乐亭的网友发文表示：

他突然发现自己的Chrome浏览器被某单位托管了。

点进去一看，处于被托管状态下的Chrome，企业管理员可以操作他的浏览器，给他安装任意应用、不让他用任意功能、监控他的一举一动。

他心里一惊，赶紧排查Policies和注册表。

最后确认，是阿里系软件安装了个插件，直接托管了他的浏览器。

（从下图来看，应该是阿里旺旺）

而且在很久之前，他的电脑就可能一直处于阿里的【托管】下。

只是最近Chrome更新，能够提示用户了，这才把阿里暴露出来。

Chrome被托管能干什么

按常理来说，BAT等公司应该只管理自己的员工。

被加入企业域的员工，可受到管理员各种各样的限制。

比如：

• 让你必须用什么头像。
• 不让你上什么网站。
• 允许或不允许你安装什么插件。

当然，最致命的还要属证书能被控制。

这相当于管理员直接拿着用户的家门钥匙。

用户变成了租户，管理员变成了房东。

那么阿里做了什么

Chrome的托管能力这么强大，这事又事关阿里，事关隐私。

启人马上跑去找到了【IT之家】的技术团队，询问一下他们的专业意见。

我问了技术团队三个问题：

1. 1、什么情况下，我的浏览器会被阿里托管？
2. 2、阿里加进来想干嘛？
3. 3、阿里加进来又能干嘛？

咱们一个一个说。

什么情况下会被托管

从网友发来的反馈来看，问题主要集中在阿里旺旺和支付宝安全控件上。

不过IT之家技术团队中，有两位同时装有这两个软件的工程师。

一位中招了，一位没中招。

为什么呢，原因后文说。

阿里加进来想干嘛

照理来说，我们不应妄自揣度阿里的想法。

不过从阿里的实际做法，大概可以看出一二。

通过Chrome Policies查询，我们发现，阿里设置的权限，名为EnabledPlugins。

这个权限可以限制用户禁用其插件。

换句话说：阿里要这个权限，可以保证自己软件的存活。

不被竞争对手干掉，不被用户干掉。

这一幕，是不是非常像安卓上的全家桶互相唤醒大战。

呵呵。

阿里加进来能干嘛

这可能是大家最关心的问题了。

其实答案非常简单：

阿里现在什么都干不了。

EnabledPlugins权限早已被谷歌官方弃用，现在已是废人一个。

（DEPRECATED：弃用的意思）

这也侧面证实，阿里在很早以前就这么干了，现在变成了历史遗留问题。

通过在浏览器上搜索“阿里托管浏览器”关键词可以发现。

其实早在今年3月，就有网友发现了这个问题。

如何删掉

删除之前，首先确认你是否中招。

先把Chrome浏览器升级到最新，然后点击菜单右上角，也就是头像右边那3个点。

如果你弹出来的菜单最下方有“由贵单位管理”，那你就是中招了。

接下来，直接在浏览器地址栏输入：

Chrome://policy

你会看到EnabledPlugins这条。

接下来打开注册表编辑器（打开方法为在“运行”中输入：regedit）。

定位到这条：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome

然后把EnabledPlugins文件夹整个删掉。

最后，重新开启浏览器，“由贵单位管理”的状态就会消失了。

最后

其实，浏览器被托管这事，不光阿里干了。

据网友反馈：

腾讯也干了。

网易也干了。

搜狗也干了。

还有各种没点到名的厂商，他们也干了。

Windows的环境，好像正在走安卓的老路…

算了，多了启人就不吐槽了。

还是来说说，为啥我们两位工程师，一位中招了，一位没中招吧。

大家还记得运行各种程序之前，Windows都会弹出确认提示嘛…

• 只要你不点确定，程序就得不到管理员权限。
• 得不到管理员权限，你就不可能中招。

是的，唯一的解释就是，我们的程序员点【确定】了…

当然，现在很多程序会打着“您有安全漏洞”或“组件不完整”幌子诱导用户点确定。

我们的程序员都不能保证100% 安全，又怎么能把网络安全的大锅甩给普通用户呢？

说到底，隐私安全这事，可能真得看各厂的三观了。

这事其实挺可悲的。

文章TAG：用户  浏览  浏览器  互联  用户浏览器被互联网大厂私自【托管】？仔细一查