关键词

黑客

安全研究人员发现57款Chrome浏览器扩展存在高风险行为,这些扩展总安装量达600万次,具备监控用户浏览行为、获取域名cookie以及可能执行远程脚本等危险功能。

隐蔽的分发方式

这些扩展具有"隐身"特性:既不会出现在Chrome应用商店的搜索结果中,也不会被搜索引擎收录,用户必须通过直接链接才能安装。此类扩展通常作为企业内部工具或开发中的测试版插件使用。

潜在的恶意用途

安全专家指出,网络攻击者可能正利用这种隐蔽特性规避安全检测,同时通过广告和恶意网站大规模推送这些扩展。这种分发方式使得传统安全扫描机制难以发现威胁。

存在风险的 Chrome 扩展程序

这些扩展程序是由安全机构 Secure Annex 的研究人员约翰・塔克纳(John Tuckner)发现的。他在检查了一个他认为可疑的名为 “火盾扩展保护(Fire Shield Extension Protection)” 的扩展程序后,发现了最初的 35 个有问题的扩展程序。

这个扩展程序的代码经过了深度混淆处理,并且包含了对一个应用程序编程接口(API)的回调,用于发送从浏览器收集到的信息。

通过这个扩展程序中包含的一个名为 “unknow.com” 的域名,塔克纳发现了更多包含相同域名的扩展程序,这些扩展程序声称能提供广告拦截或隐私保护服务。

所有这些扩展程序都拥有过于宽泛的权限,使它们能够执行以下操作:

  • 访问 Cookie,包括敏感的请求头信息(例如 “Authorization”);

  • 监控用户的浏览行为;

  • 修改搜索提供商(以及搜索结果);

  • 通过 iframe 在访问的页面上注入并执行远程脚本;

  • 远程激活高级追踪功能。

虽然塔克纳没有发现任何扩展程序窃取用户密码或 Cookie,但这些极高风险的功能、深度混淆的代码以及隐藏的逻辑,已足以让这位研究人员将它们标记为具有风险,并且有可能是间谍软件。

塔克纳解释道:“在其他函数中还有更多经过混淆处理的迹象,显示出这些扩展程序具有强大的命令和控制潜力,比如能够列出用户访问过的热门网站、打开 / 关闭标签页、获取用户访问过的热门网站,并且能够临时执行上述的许多功能。”

“其中许多功能尚未经过验证,但同样令人担忧的是,在 35 个声称只是提供简单保护功能(比如保护用户免受恶意扩展程序侵害)的扩展程序中,存在这样的功能。”

影响范围持续扩大

最初发现的35款扩展中,部分已被Chrome应用商店下架。但截至发稿时,研究人员又发现了 22 个据信属于同一类别的扩展程序,使扩展程序的总数达到了 57 个,使用这些扩展程序的用户总数已达 600 万,部分恶意程序仍公开可见。

仍保留在 Chrome 网上应用店的一个有风险的扩展程序 来源:BleepingComputer

以下是下载量最高的几个扩展程序:

  1. Cuponomia

    – 优惠券与返现(70 万用户,公开)

  2. 火盾扩展保护

    (30 万用户,未列出)

  3. Chrome™ 全面安全防护

    (30 万用户,未列出)

  4. Chrome™ 保护者

    (20 万用户,未列出)

  5. Chrome 浏览器看门狗

    (20 万用户,公开)

  6. Chrome™ 安全卫士

    (20 万用户,未列出)

  7. 医生出品的 Chrome 浏览器检查工具

    (20 万用户,公开)

  8. 选择你的 Chrome 工具

    (20 万用户,未列出)

紧急应对措施

  1. 立即检查并卸载相关扩展

  2. 修改所有重要账户密码(尤其开启双重验证)

  3. 使用杀毒软件全盘扫描

  4. 警惕来源不明的扩展安装链接

谷歌安全团队已介入调查。专家建议用户定期审查浏览器扩展权限,对于声称"安全防护"却索取过多权限的扩展保持高度警惕。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!