江苏
关键词
黑客
安全研究人员发现57款Chrome浏览器扩展存在高风险行为,这些扩展总安装量达600万次,具备监控用户浏览行为、获取域名cookie以及可能执行远程脚本等危险功能。
隐蔽的分发方式
这些扩展具有"隐身"特性:既不会出现在Chrome应用商店的搜索结果中,也不会被搜索引擎收录,用户必须通过直接链接才能安装。此类扩展通常作为企业内部工具或开发中的测试版插件使用。
潜在的恶意用途
安全专家指出,网络攻击者可能正利用这种隐蔽特性规避安全检测,同时通过广告和恶意网站大规模推送这些扩展。这种分发方式使得传统安全扫描机制难以发现威胁。
存在风险的 Chrome 扩展程序
这些扩展程序是由安全机构 Secure Annex 的研究人员约翰・塔克纳(John Tuckner)发现的。他在检查了一个他认为可疑的名为 “火盾扩展保护(Fire Shield Extension Protection)” 的扩展程序后,发现了最初的 35 个有问题的扩展程序。
这个扩展程序的代码经过了深度混淆处理,并且包含了对一个应用程序编程接口(API)的回调,用于发送从浏览器收集到的信息。
通过这个扩展程序中包含的一个名为 “unknow.com” 的域名,塔克纳发现了更多包含相同域名的扩展程序,这些扩展程序声称能提供广告拦截或隐私保护服务。
所有这些扩展程序都拥有过于宽泛的权限,使它们能够执行以下操作:
访问 Cookie,包括敏感的请求头信息(例如 “Authorization”);
监控用户的浏览行为;
修改搜索提供商(以及搜索结果);
通过 iframe 在访问的页面上注入并执行远程脚本;
远程激活高级追踪功能。
虽然塔克纳没有发现任何扩展程序窃取用户密码或 Cookie,但这些极高风险的功能、深度混淆的代码以及隐藏的逻辑,已足以让这位研究人员将它们标记为具有风险,并且有可能是间谍软件。
塔克纳解释道:“在其他函数中还有更多经过混淆处理的迹象,显示出这些扩展程序具有强大的命令和控制潜力,比如能够列出用户访问过的热门网站、打开 / 关闭标签页、获取用户访问过的热门网站,并且能够临时执行上述的许多功能。”
“其中许多功能尚未经过验证,但同样令人担忧的是,在 35 个声称只是提供简单保护功能(比如保护用户免受恶意扩展程序侵害)的扩展程序中,存在这样的功能。”
影响范围持续扩大
最初发现的35款扩展中,部分已被Chrome应用商店下架。但截至发稿时,研究人员又发现了 22 个据信属于同一类别的扩展程序,使扩展程序的总数达到了 57 个,使用这些扩展程序的用户总数已达 600 万,部分恶意程序仍公开可见。
仍保留在 Chrome 网上应用店的一个有风险的扩展程序 来源:BleepingComputer
以下是下载量最高的几个扩展程序:
- Cuponomia
– 优惠券与返现(70 万用户,公开)
- 火盾扩展保护
(30 万用户,未列出)
- Chrome™ 全面安全防护
(30 万用户,未列出)
- Chrome™ 保护者
(20 万用户,未列出)
- Chrome 浏览器看门狗
(20 万用户,公开)
- Chrome™ 安全卫士
(20 万用户,未列出)
- 医生出品的 Chrome 浏览器检查工具
(20 万用户,公开)
- 选择你的 Chrome 工具
(20 万用户,未列出)
立即检查并卸载相关扩展
修改所有重要账户密码(尤其开启双重验证)
使用杀毒软件全盘扫描
警惕来源不明的扩展安装链接
谷歌安全团队已介入调查。专家建议用户定期审查浏览器扩展权限,对于声称"安全防护"却索取过多权限的扩展保持高度警惕。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
