[Chrome] 我寫的擴充功能突然被標示成惡意軟體了?!
前天早上家人跟我說我的「圖書館多重登入」Chrome 擴充功能,
突然無法使用了…
去 chrome://extensions/ 一瞧,
呃啊,這是怎麼回事,我的 app 怎麼被標示成含有惡意軟體 (malware) 了?!
嗯… 我在前兩版曾經更新了 app,增加了一個「問題回報」的功能,
這個功能會會將除錯用的資訊,用 Hex encode 的方式,透過 email 寄信給我。
難道是這個功能被認為有問題?
試著把「問題回報」的功能停用 (在 app 上不顯示),
重新上傳後,問題依舊…
好吧,那把「問題回報」相關的程式碼全部拔光光,
再上傳一次… 但還是被標示成惡意軟體….
看了一下,Google 官網上是寫說可能 app 違反一些規定。
瞄了一下 Chrome Developer Program Policies,
裡面有一段關於 Malicious Products 的說明:
Don’t transmit viruses, worms, defects, Trojan horses, malware, or any other items of a destructive nature. We don’t allow content that harms or interferes with the operation of the networks, servers, or other infrastructure of Google or any third-parties. Spyware, malicious scripts, and password phishing scams are also prohibited in the Chrome Web Store. Where possible, make as much of your code visible in the package as you can. If some of your app’s logic is hidden and it appears to be suspicious, we may remove it.
最重要的應該就是我標紅色那句話,
也就是說如果 Google 認為你程式裡有可疑的隱藏邏輯,
這擴充功能就可能會被移除。
但問題來了:
- Google 怎麼決定「可疑」「隱藏」的程式邏輯?
- 我又要怎麼知道哪邊出了問題,好作對應的修正呢?
第一個問題,不知道,也許 Google 自己有一套 scanner,
或是用 Fortify 之類的 scanner 在掃,
但這是 Google 內部的事,就算增加修改什麼,應該也不會跟我們說。
第二個問題是我比較關心的,
上網查了一下,好像「理論上」要收到 Google 的通知信,
但我並沒收到,網路上似乎也有人遇過莫名其妙被標示成惡意軟體,
然後也沒收到 Google 通知信…
又有人說這可能是 Google 的 bug,但也沒什麼證據,眾說紛紜…
真的是沒招了…
後來找到了 Chrome Web Store Help,在這邊可以留言問客服問題,
於是我問了為什麼我的 app 被標成惡意軟體,
驚訝的是客服很快就回覆了:
Thank you for reaching out to Chrome Web Store Developer Support and my apologies for the delay in getting back to you! I’ve heard back from our engineering team and confirmed that the “圖書館多重帳戶登入” has been successfully restored and it is currently live on the store. We sincerely apologize for the any inconveniences it has cause you and your business. Please let me know if there’s anything else I can do for you, I’m happy to assist.
看到回信真是高興,立馬重新整理 chrome://extensions/ 看看…
呃… 還是惡意軟體…
移除掉再重新安裝…. 還是惡意軟體…
直接回客服寄來的信,說明問題沒有解決,
但接下來就再也沒有客服的消息了…
直到前天晚上,重新整理 chrome://extensions/ 還是不行,
但移除掉再重新安裝,惡意軟體的警告訊息消失了!!
嗯… 不知道到底是怎樣,
是客服後來有再去處理,還是說第一次的處理本身就需要等待很久的時間?
我又回信問了一次,想知道一開始被標成惡意軟體的原因,
不然我也不知道會不會不小心又踩到雷…
等候了兩天後,我收到了回信,但信中並沒有說明原因:
Many thanks for your reply! In regards to your question, unfortunately, I cannot reveal the reason due to the security purposes. Sorry that I could not help you much here. 🙁
不能清楚標示是什麼部分造成問題,我是可以理解,
畢竟作壞事的可能就可以藉此來避開偵測,
但對沒作壞事的人來說,這實在不能算是件合理的事。
想想在路上走一走突然被警察抓去關,
關了一天之後把你放了,然後說我也不能告訴你為什麼要關你?
(某種程度上我可以理解為什麼 Google 的論壇上抱怨連連…)
現在,我還是不知道我可不可以把「回報問題」的功能加回去,
也不知道什麼時候會再被無預警地標成惡意軟體…
想想有些軟體公司搞不好是靠擴充功能維生的,
如果出了這種事,公司搞不好就倒了啊…
參考資料:
Chrome extension taken down with no explanation
Why Chrome Disable Extensions like a Malware?
Enable “suspicious” Extension, Chrome blocked without my permission
2 thoughts on “[Chrome] 我寫的擴充功能突然被標示成惡意軟體了?!”
我這2、3天登入時畫面會跑每一個帳號的畫面~~但跑完後畫面一片空白,移除後再重新安裝依然是這樣,請問是否有辦法解決這個問題??
是哪個圖書館呢?