北京
你每天打开的浏览器插件,可能正在每15秒窃取一次你的社交账号。
安全团队Socket的最新发现让人脊背发凉:同一批攻击者向Chrome官方商店塞进了108款恶意扩展,覆盖从翻译工具到游戏娱乐的五个品类。更讽刺的是——它们全都通过了谷歌的审核。
这些插件到底在偷什么?
Socket的研究拆出了三层攻击面。
第一层是身份凭证。54款扩展在后台收割用户的邮箱、姓名、头像和谷歌账户ID,同时盗取谷歌OAuth2的Bearer令牌(一种用于身份验证的访问凭证)。这意味着攻击者可以绕过密码,直接以你的身份登录第三方服务。
第二层是远程控制。45款扩展内置后门,持续从命令控制服务器(C2)获取指令,随时在用户浏览器里打开任意网址。你的设备成了别人手里的傀儡。
第三层最隐蔽:78款扩展向用户界面注入攻击者控制的HTML代码,还有部分直接剥离安全头部、向YouTube和TikTok页面塞广告。你看到的页面,可能已经被"整容"过了。
最危险的一款专门针对Telegram Web用户——每15秒窃取一次会话数据。想象一下,你的加密聊天窗口开着,后台有个定时器在持续复制你的登录状态。
正方观点:谷歌的审核机制存在结构性漏洞
这批扩展的伪装手法并不复杂。它们被包装成五类常见工具:Telegram侧边栏客户端、老虎机和基诺游戏、YouTube/TikTok增强器、文本翻译工具、浏览器实用程序。
表面功能全部正常运作。用户下载后确实能用——翻译能翻、游戏能玩、视频增强也生效。恶意代码藏在深层,只在特定条件下激活。
这种"双面性"击中了自动化审核的盲区。谷歌的商店扫描主要依赖静态分析和行为沙箱,但攻击者显然摸清了触发条件:恶意载荷延迟加载、C2通信伪装成正常API调用、数据回传加密混淆。
更深层的问题是权限模型的宽松。一款"翻译工具"为什么要读取你的谷歌账户信息?一款"游戏"为什么需要访问所有网站的数据?大多数用户不会细想,一键授权后,攻击者就拿到了通行证。
Chrome Web Store每月处理数万款扩展提交,人工审核不现实。但Socket的发现表明,自动化防线正在被系统性绕过——同一批攻击者能连续投放108款,说明他们发现了一条可复制的入侵路径。
反方观点:用户自身的选择同样关键
批评者会指出,商店审核只是最后一道闸,而非唯一防线。
这108款扩展的累计安装量尚未公开,但参考同期案例——假Chrome AI扩展曾波及超30万用户,VKontakte账号劫持案涉及50多万账户——恶意扩展的规模效应不容小觑。然而,这些数字背后有一个共同特征:用户主动选择了它们。
"免费"是最古老的诱饵。游戏类扩展承诺无需付费即可畅玩,增强器宣称能解锁隐藏功能,翻译工具标榜比官方更好用。在功能诱惑面前,权限警告被习惯性忽略。
浏览器扩展的权限提示设计也存在问题。安装时的弹窗列出十几项权限,普通用户既看不懂术语,也评估不了风险。一键"添加扩展"成了肌肉记忆。
此外,扩展一旦安装就长期潜伏。不像钓鱼链接需要即时互动,恶意扩展可以静默运行数月,直到用户某天发现账户异常或收到安全警报。这种延迟性让攻击更难追溯。
企业安全团队面临额外困境。员工在个人设备上安装的扩展,可能通过同步功能流入公司环境。OAuth2令牌被盗后,攻击者访问的不只是个人Gmail,可能是企业Workspace里的文档、邮件、日历。
我的判断:这是一场"信任基础设施"的崩塌
双方都有道理,但问题的核心比"审核vs用户"更深。
Chrome Web Store曾是浏览器扩展的"官方认证"标志。用户默认相信:能进商店的,至少是安全的。这种信任被攻击者 weaponized(武器化)了——他们不需要攻破谷歌的服务器,只需要攻破谷歌的信誉体系。
108款扩展不是偶然失误,是工业化投放的结果。五个品类覆盖不同用户群体:游戏吸引休闲用户,翻译工具瞄准跨国工作者,Telegram客户端切中隐私敏感人群。攻击者在用产品思维做恶意软件分发。
更值得警惕的是技术债务的累积。OAuth2令牌、浏览器会话、自动同步机制——这些便利功能的设计假设是"终端环境可信"。当终端被恶意扩展渗透,整个身份架构都在裸奔。
谷歌的应对将是观察窗口。2024年以来,Chrome团队已收紧扩展权限政策,要求更严格的远程代码限制,并推动Manifest V3标准以减少后台脚本的滥用空间。但政策落地需要时间,而攻击者已经在适应新规则。
对企业而言,这记警钟足够响亮。扩展管理需要从"员工自律"转向"强制管控"——浏览器策略白名单、权限预审、行为监控。个人用户则面临更残酷的现实:在便利和安全之间,默认选项正在变得危险。
Socket的研究没有给出这108款扩展的具体名称列表,这是安全披露的惯例——防止攻击者提前清理证据,也给谷歌留出响应窗口。但这也意味着,普通用户无法自查是否"中招"。
唯一确定的是:官方商店的金色徽章,不再是安全保证。下一次点击"添加扩展"之前,值得多问一句——这个功能,真的需要这么多权限吗?
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
