「浏览器插件是最容易被遗忘的数字资产,也是攻击者最喜欢的潜伏点。」——当你读到安全研究员这句话时,这场涉及108个Chrome扩展的大规模数据收割行动已经被曝光,而它们在你浏览器里可能还活得好好的。
导读:一个被忽视的"日常工具"陷阱
研究人员追踪到一个庞大的恶意插件网络:108个扩展程序共享同一套控制基础设施,涵盖游戏、翻译、社媒助手等常见类型。它们在你点击"添加"的瞬间,就获得了读取谷歌账号、劫持Telegram会话、后台打开任意网页的权限。
Chrome Web Store显示这些插件累计约2万次安装。更麻烦的是,报告发布时它们仍在运行,下架请求虽已提交,但用户端的清理只能靠自己。
这不是技术漏洞,是产品设计层面的"信任套利"——攻击者比你更懂用户的心理盲区。
一、攻击面拆解:这些插件到底干了什么
研究人员按行为模式将恶意功能分了四类,每一类都瞄准不同的用户场景:
第一类,身份收割。54个扩展在诱导用户点击"登录"按钮后,抓取谷歌账号的身份详情。这类插件通常伪装成"需要同步数据"的辅助工具,利用的是用户对官方登录流程的习惯性信任。
第二类,会话劫持。一个专门针对Telegram的扩展每15秒向外传输一次活跃的Telegram Web会话数据。这意味着攻击者可以实时读取你的聊天内容,而无需破解密码——会话令牌一旦泄露,双因素认证也形同虚设。
第三类,后门常驻。45个扩展内置了Chrome启动时自动打开任意URL的例程。即使用户当天从未点开该插件,它也能在后台拉起网页,用于广告欺诈、钓鱼跳转或进一步投递恶意代码。
第四类,页面篡改。部分插件先剥离Telegram、YouTube、TikTok等站点的安全保护机制,再注入覆盖层、广告或脚本。一个翻译工具更是把用户提交的文本全部路由到攻击者服务器,将隐私工具反向变成监控节点。
这四类攻击并非孤立存在。多个插件同时具备两到三种能力,形成"安装-潜伏-收割-持久化"的完整链条。
二、伪装逻辑:为什么偏偏是这些类型
攻击者的选品策略值得细品。列表里的插件类别——Telegram工具、轻量游戏、翻译器、YouTube/TikTok助手——恰好是Chrome Web Store里需求最大、审核最松、用户决策成本最低的品类。
Telegram工具瞄准的是跨境通讯刚需。国内用户访问Telegram Web本身就需要一定技术门槛,这类插件往往打着"优化连接""增强功能"的旗号,天然筛选出对隐私敏感却又缺乏安全判断力的群体。
翻译插件则是另一类高价值目标。用户会主动粘贴敏感文本——工作文档、私人对话、甚至密码重置邮件——而很少有人检查翻译请求发向了哪个服务器。
游戏和社媒助手利用的是"低警惕性安装"心理。一个Keno游戏或TikTok下载器,功能看起来简单直接,权限请求却被用户习惯性忽略。Chrome的权限提示设计本就存在"疲劳效应",第三次看到"读取和更改网站数据"时,大多数人已经不会细读。
更关键的是,这些插件的商店页面往往做得足够精致。截图合规、描述清晰、评分刷到4星以上——攻击者投入了真实的UI/UX成本,因为转化率直接决定收割规模。
三、基础设施暴露:108个插件的"共用大脑"
研究人员能将这108个插件关联到同一行动,核心证据是它们共享的后端基础设施。这种"多前端、单后端"的架构设计,在恶意软件运营中相当典型:
前端插件负责渗透和驻留,尽量分散品类以降低单点暴露风险;后端服务器统一接收数据、下发指令、协调行为。一旦某个插件被举报下架,运营方可以迅速推送更新或启动备用插件,而核心数据资产早已转移。
这种架构的脆弱点在于,安全研究者只要捕获一个样本的通信流量,就能顺藤摸瓜锁定整个网络。本次曝光正是基于这种"基础设施关联分析"——108个看似无关的插件,在服务器日志里露出了同一个IP集群和证书指纹。
但这也说明,在研究人员介入之前,这套系统已经稳定运行了相当长的时间。2万次安装数据是快照,实际影响范围可能数倍于此。
四、权限设计的结构性缺陷
Chrome扩展的权限模型在这次事件中再次暴露问题。几个关键设计缺陷被攻击者精准利用:
"读取和更改网站数据"这一权限范围过宽。一个翻译插件理论上只需要访问当前标签页,但标准权限请求覆盖的是所有网站。用户无法精细授权,只能全盘接受或放弃安装。
后台脚本(background script)的运行机制缺乏透明度。45个插件利用的"Chrome启动时自动打开URL"功能,依赖的就是这个常驻后台的组件。普通用户没有任何界面可以查看后台脚本的活动日志。
权限升级缺乏二次确认。插件在安装后可以通过更新静默获取新权限,而Chrome的自动更新机制默认开启。一个最初只请求"读取数据"的插件,几周后可能变成"修改所有网站"的 Trojan,而用户只会收到一条容易被忽略的权限变更通知。
这些设计问题并非不可修复,但Google的商业优先级显然不在此。扩展生态的开放性是Chrome对抗Safari、Edge的护城河之一,收紧权限等于抬高开发门槛,直接影响商店丰富度。
安全与增长的权衡,最终由用户承担成本。
五、个人防御:一份可执行的清理清单
研究人员提供了108个插件的完整名单(含名称和ID),建议立即卸载任何匹配项。但比单次清理更重要的是建立持续审计的习惯:
第一步,访问chrome://extensions/,按"安装日期"排序。三个月前装的游戏、翻译器、社媒工具,如果现在完全想不起来为什么装,直接移除。
第二步,检查"站点访问"权限。任何显示"在所有网站上"的插件都需要重新评估必要性。真正的专用工具(如密码管理器)才需要这种权限,辅助类插件一律可疑。
第三步,针对Telegram用户。如果曾安装任何Telegram Web相关扩展,立即在手机端进入"设置-设备-活跃会话",终止所有Web会话。会话令牌可能已被窃取,改密码不如直接断开会话有效。
第四步,谷歌账号审查。访问myaccount.google.com/security,检查"第三方应用访问权限",撤销任何不熟悉的扩展授权。重点查看是否有插件获得了"查看电子邮件地址""查看基本个人资料"等基础但敏感的权限。
第五步,启用扩展更新手动确认。在Chrome设置中关闭"自动更新扩展",改为每次更新前审阅权限变更。这会牺牲一定便利性,但对高价值账号值得。
六、行业层面的"信任赤字"
这次事件最刺眼的不是技术手法,而是平台治理的滞后。研究人员在报告发布前已提交下架请求,但108个插件在公开曝光时仍在运行——这意味着Google的审核响应时间以天甚至周计,而恶意扩展的生命周期可能只有几小时。
Chrome Web Store的自动化扫描显然未能识别这些插件的关联性。108个共享基础设施的扩展,在商店后台应该留下大量可检测的模式:相似的代码结构、重复的域名请求、集中的上传者行为。要么检测规则存在盲区,要么计算资源投入不足。
更深的问题在于,扩展生态的商业模式本身在鼓励"轻量开发、快速迭代、数据变现"。攻击者只是把这种逻辑推到了极端——他们用同样的方法论做恶意软件,效率反而更高,因为没有合规成本。
对于普通用户,平台信任的边际价值正在递减。每一次大规模曝光都在教育市场:官方商店≠安全,高评分≠可信,功能简单≠权限简单。这种认知一旦形成,扩展生态的长期活跃度必然受损。
Google需要回答的是:当"开放"成为攻击者的武器,护城河会不会变成围城?
热门跟贴