微博用户 @極楽亭 称:自己的个人电脑上安装的 Chrome 被阿里巴巴一个插件在毫不知情的情况下托管了,这个托管功能还能远程随意修改本地浏览器设置,而出现同样情况的还有腾讯用户。
@極楽亭 同时发布了自己的检查结果是阿里系软件(ALIWANGWANG)在其未知情的情况下安装了一个浏览器策略插件,直接托管了 Chrome。
「企业管理员随时可以操作我的浏览器,给我安装任意应用、不让我用任意功能、监控我的一举一动。」
而出现同样情况的还有腾讯用户 @杜王町天气预报 ,发送图片显示 Chrome 浏览器被 https://qq.com 托管(由于没有详细参数截图,无法知道是托管了哪个接口)。
如何查询自己的 Chrome 是否被企业策略 / 政策托管?
以下两种方法一定要确保自己的浏览器为最新的,因为这是由于 Chrome 更新了所以才让这些功能暴露出来了,如果不是最新可能会没有相关提示。
一、【更多】显示【由贵单位管理】检查法
点击 Chrome 浏览器右侧的这三个点弹出选项菜单,如果如下图所示【由贵单位管理】那就代表中招。
如果没显示也别急,再确定下也是极好的,再看看方法二。
二、谷歌政策页面检查法
通过直接复制: chrome:https://policy/ 到 Chrome 浏览器窗口访问(也可以直接点击链接),即可查看权限控制,正常用户应该跟微饭君的浏览器显示一样为(未设置任何政策)。
如果政策页面这样显示则代表已被相关企业的程序托管。
在 Chrome Policies 一栏中 应该为空,如果您已中招,可以继续阅读本文章底部给您提供的解决方案,如果出现其他策略可以留言(公众号:微饭君)咨询解决办法。
鉴于某些企业的安全设置或者环境要求,建议企业用户 / 公共电脑(非家庭个人用户)就不尝试了,因为可能会有更高的本地监控策略,您删了这一类政策也没啥用,还可能被领导约谈。
如何解决和防止 Chrome 被企业管理
1、如何预防被隐瞒
访问 Chrome 高级设置页面:chrome:https://flags/#show-managed-ui 开启提示,如果有软件想修改那么你的浏览器就会如上图那样显示【由贵单位管理】
Default 默认 / Enabled 开启提示 / Disabled 关闭提示
这一项仅仅是个人用户防止被悄悄托管而自己不知道,而且企业用户也可以选择关闭提示来让自己不那么闹心…
2、删除注册表卸载
通过删除注册表来关闭 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome 里的 EnabledPlugins 文件夹,删除完成后再重启 Chrome(也可保持关闭状态下进行删除)。
Win 键(微软标志键)+R 键(在 Windows 10 中如何打开注册表编辑器),弹出运行框,输入:regedit
根据路径:HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome 进入相关注册表文件夹后整个删除掉。
删掉后重新打开 Chrome 应该就会退出【由贵单位管理】这个托管状态了。
3、切勿安装非官方程序安装包
非官方程序安装包可能会被绑定恶意代码,导致电脑受到更大的危害,特别是某搜索引擎广告推广置顶的那种。
高权限下的官方弃用端口
可能是阿里程序员为了便于登陆阿里系绕过了某些功能来实现快速登陆(猜测),以前都是无缝衔接的使用,但是这次 Chrome 更新后让这个快捷路径暴露出来。
很显然这一件事让很多用户都有了心结,阿里官方出来解释下这看似高权限的插件是用来做什么的,用户能不能在知情的情况下自己选择安装?
本次涉及的政策:EnabledPlugins
根据 Chrome 官方文档说明:该接口已被 Chrome 官方弃用,主要用途是打开 Flash 和 PDF 查看器
旧版政策页面(谷歌翻译)
Specifies a list of plugins that are enabled in Google Chrome and prevents users from changing this setting.
The specified list of plugins is always used in Google Chrome if they are installed. The plugins are marked as enabled in ‘about:plugins’ and users cannot disable them.
如果已安装,则会在 Google Chrome 中使用指定的插件列表。插件在 ‘about:plugins’ 中标记为已启用,用户无法禁用它们。
If this policy is left not set the user can disable any plugin installed on the system.
如果未设置此策略,则用户可以禁用系统上安装的任何插件。
附上完整的政策清单,后面有备注详细的功能说明
如果无法放大并清晰的查看已上传其他图片外链平台:谷歌政策清单
简而言之:
虽然这次暴露的是一个已被 Chrome 弃用的旧接口(有新接口代替),而且插件功能权限也不高,但很显然用户未接到通知这个接口被启用(如果不是这次 Chrome 更新),这插件是获取了最高权限(企业管理)以后进行安装的,也就是说不需通知用户随时可以启用其他权限端口(加粗这一段表示:结论待定,还需观察),如果这类功能被滥用后果将不堪设想!
0806 补充:
目前暂未发现启用 EnabledPlugins 接口有其他副作用。
但是也有出现被其他恶意插件感染无法删除【由贵单位管理】的情况,非本次涉及的企业插件。
功能的设计初衷不是恶意的,但是会有恶意的人利用这些不为人常知的接口功能来作恶。
所以 TA 可能不会作恶,但我们有权知道并对其作出防范。
