江蘇
關鍵詞
黑客
安全研究人員發現57款Chrome瀏覽器擴展存在高風險行為,這些擴展總安裝量達600萬次,具備監控用戶瀏覽行為、獲取域名cookie以及可能執行遠程腳本等危險功能。
隱蔽的分發方式
這些擴展具有"隱身"特性:既不會出現在Chrome應用商店的搜索結果中,也不會被搜索引擎收錄,用戶必須通過直接鏈接才能安裝。此類擴展通常作為企業內部工具或開發中的測試版插件使用。
潛在的惡意用途
安全專家指出,網絡攻擊者可能正利用這種隱蔽特性規避安全檢測,同時通過廣告和惡意網站大規模推送這些擴展。這種分發方式使得傳統安全掃描機制難以發現威脅。
存在風險的 Chrome 擴展程序
這些擴展程序是由安全機構 Secure Annex 的研究人員約翰?塔克納(John Tuckner)發現的。他在檢查了一個他認為可疑的名為 “火盾擴展保護(Fire Shield Extension Protection)” 的擴展程序后,發現了最初的 35 個有問題的擴展程序。
這個擴展程序的代碼經過了深度混淆處理,并且包含了對一個應用程序編程接口(API)的回調,用于發送從瀏覽器收集到的信息。
通過這個擴展程序中包含的一個名為 “unknow.com” 的域名,塔克納發現了更多包含相同域名的擴展程序,這些擴展程序聲稱能提供廣告攔截或隱私保護服務。
所有這些擴展程序都擁有過于寬泛的權限,使它們能夠執行以下操作:
訪問 Cookie,包括敏感的請求頭信息(例如 “Authorization”);
監控用戶的瀏覽行為;
修改搜索提供商(以及搜索結果);
通過 iframe 在訪問的頁面上注入并執行遠程腳本;
遠程激活高級追蹤功能。
雖然塔克納沒有發現任何擴展程序竊取用戶密碼或 Cookie,但這些極高風險的功能、深度混淆的代碼以及隱藏的邏輯,已足以讓這位研究人員將它們標記為具有風險,并且有可能是間諜軟件。
塔克納解釋道:“在其他函數中還有更多經過混淆處理的跡象,顯示出這些擴展程序具有強大的命令和控制潛力,比如能夠列出用戶訪問過的熱門網站、打開 / 關閉標簽頁、獲取用戶訪問過的熱門網站,并且能夠臨時執行上述的許多功能。”
“其中許多功能尚未經過驗證,但同樣令人擔憂的是,在 35 個聲稱只是提供簡單保護功能(比如保護用戶免受惡意擴展程序侵害)的擴展程序中,存在這樣的功能。”
影響范圍持續擴大
最初發現的35款擴展中,部分已被Chrome應用商店下架。但截至發稿時,研究人員又發現了 22 個據信屬于同一類別的擴展程序,使擴展程序的總數達到了 57 個,使用這些擴展程序的用戶總數已達 600 萬,部分惡意程序仍公開可見。
仍保留在 Chrome 網上應用店的一個有風險的擴展程序 來源:BleepingComputer
以下是下載量最高的幾個擴展程序:
- Cuponomia
– 優惠券與返現(70 萬用戶,公開)
- 火盾擴展保護
(30 萬用戶,未列出)
- Chrome? 全面安全防護
(30 萬用戶,未列出)
- Chrome? 保護者
(20 萬用戶,未列出)
- Chrome 瀏覽器看門狗
(20 萬用戶,公開)
- Chrome? 安全衛士
(20 萬用戶,未列出)
- 醫生出品的 Chrome 瀏覽器檢查工具
(20 萬用戶,公開)
- 選擇你的 Chrome 工具
(20 萬用戶,未列出)
立即檢查并卸載相關擴展
修改所有重要賬戶密碼(尤其開啟雙重驗證)
使用殺毒軟件全盤掃描
警惕來源不明的擴展安裝鏈接
谷歌安全團隊已介入調查。專家建議用戶定期審查瀏覽器擴展權限,對于聲稱"安全防護"卻索取過多權限的擴展保持高度警惕。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
