IT之家 12 月 2 日消息,重庆哨兵电子商务有限公司今天在公众号平台发文,回应国外安全公司将 Clean Master、WeTab、Infinity 等浏览器扩展与一项长期恶意活动联系在一起的行为,称 Clean Master 在 2024 年后推送的恶意更新并非由原团队发布。
结合回应声明,Clean Master(IT之家注:包含 Chrome 版本和 Edge 版本)最初由该公司团队设计、开发,最初上线阶段提交的版本“严格遵循各浏览器扩展商店的政策”,不包含安全报告中提到的后门、远程执行代码或恶意监控行为。
后续出于业务调整和资源聚焦的考虑,Clean Master 的 Chrome 版本被整体出售给了第三方,自出售完成之日起,该公司不再对扩展拥有任何形式的控制权,也无法对其后续更新内容或数据收集行为进行干预、审核,而且 2024 年之后的恶意更新并非由原团队发布。
同时,由于 Edge 商店账号及权限无法与 Chrome 一并合法转移给买方,该公司已于 2024 年主动下架 Clean Master 的 Edge 版本,停止维护和更新,报告中关于“2024 年之后推送的恶意更新”并无关联,如果用户仍本地保留历史版本,建议及时卸载,以防旧版本被不法分子二次篡改或利用。
而 WeTab 与 Infinity 等扩展由公司团队独立设计、开发和持续运营,代码架构与早期 Clean Master 已完全不同,公司内部对 WeTab / Infinity 进行了多轮内部安全自查,未发现安全报告中所述的远程代码执行后门或恶意行为,也不存在在用户不知情情况下执行任意第三方脚本的情况。
至于安全报告中为何将 WeTab / Infinity 和 Clean Master 关联,官方给出的解释是由于 KOI 更多是基于“同一开发者账号”、“用户体量较大”等关联进行提及,并未给出 WeTab / Infinity 存在“后门”的有效技术证据。
针对两款扩展在某些浏览器扩展商店中出现“下架 / 不可用”的情况,官方解释称由于 Clean Master 与 WeTab、Infinity 曾使用同一开发者账号上架,当相关账号因 Clean Master 事件受到风控审查时,平台出于风险控制,会对同一账号下的多款扩展采取统一处理或临时下架的措施。
换言之,WeTab 与 Infinity 的下架是由于开发者账号受到波及,并非两款扩展存在恶意代码或安全问题,官方已主动向平台提交的两款扩展的技术说明与安全自查结果,正积极沟通以恢复正常上架。
同时官方还在文中提到,安全报告中曾出现名为“Infinity V+”的扩展,用于跳转第三方搜索站点、注入跟踪代码等,他们目前运营的 Infinity 产品为独立的新标签页工具,不包含上述恶意行为,任何与恶意重定向、键盘记录器等描述相符的版本,均非官方授权或发布的版本。
此外,官方澄清道,已安装的 WeTab / Infinity 本地版本代码保持不变,不存在临时植入后门或新增恶意代码行为,下架属于平台风控结果,并不代表产品本身被技术认定为恶意扩展,并就以下内容作出郑重承诺:
不采集用户账号密码、表单内容、聊天记录等敏感内容;
不会读取或上传本地硬盘文件;
不会将可识别到具体个人的完整浏览记录打包出售给任何第三方;
涉及第三方统计或分析服务(包括境内外服务提供方)时,仅限于产品运营所需的统计与诊断数据,并严格遵守相关法律法规与平台政策
