章
目
录
近日安全研究人员发现,有57款Chrome浏览器扩展存在高风险行为,而这些扩展的总安装量竟然达到了600万次。这可不是个小数目,意味着有大量用户可能面临安全风险。
一、扩展的隐蔽分发方式
这些有问题的扩展有个很“狡猾”的特点,它们既不会出现在Chrome应用商店的搜索结果里,也不会被普通搜索引擎找到。用户想要安装,只能通过直接链接才行。一般来说,这种扩展常见于企业内部使用的工具,或者是开发过程中的测试版插件。但现在,却被别有用心的人利用了。
二、潜在的恶意用途
安全专家指出,这种隐蔽的特性给网络攻击者提供了可乘之机,他们能借此规避安全检测。而且,攻击者还通过广告和恶意网站,大规模地推送这些扩展。这就导致传统的安全扫描机制很难察觉到其中的威胁,用户在不知不觉中就可能安装了这些危险的扩展。
三、问题扩展的发现过程
这些扩展程序是由安全机构Secure Annex的研究人员约翰·塔克纳发现的。一开始,他注意到一个叫“火盾扩展保护(Fire Shield Extension Protection)”的扩展程序有些可疑。仔细检查后,发现这个扩展的代码经过了深度混淆处理,让人很难直接看明白。而且,它还包含了一个应用程序编程接口(API)的回调,这个回调会把从浏览器收集到的信息发送出去。比如说,它会收集浏览器的一些设置信息,像是否启用了Cookie,还会记录当前的时间戳,然后把这些信息打包发送到“https://fireshieldit.com/api/fire/noti”这个地址。
通过“火盾扩展保护”里的“unknow.com”这个域名,塔克纳顺藤摸瓜,又发现了好多包含相同域名的扩展程序。这些扩展程序都声称能提供广告拦截或者隐私保护服务,但实际上却暗藏玄机。
四、扩展的高风险功能
研究发现,这些扩展程序拥有过于宽泛的权限,具体能做下面这些危险的事:
- 访问Cookie:连包含敏感信息的请求头,比如“Authorization”都能获取到,这可能导致用户的隐私和账号安全受到威胁。
- 监控浏览行为:用户在网上的一举一动都有可能被监视,毫无隐私可言。
- 修改搜索设置:不仅能修改搜索提供商,还能影响搜索结果,误导用户。
- 注入并执行远程脚本:通过iframe在用户访问的页面上注入远程脚本,可能会执行一些恶意操作。
- 激活高级追踪功能:开启更高级的追踪,进一步侵犯用户隐私。
虽然目前还没有发现这些扩展程序直接窃取用户密码或Cookie,但就凭这些风险极大的功能,再加上混淆的代码和隐藏的逻辑,已经足以让研究人员把它们标记为有风险的程序,甚至有可能是间谍软件。塔克纳还说,在其他函数里,也有很多混淆的迹象,显示出这些扩展程序有很强的控制潜力,比如能获取用户访问过的热门网站信息,还能控制标签页的打开和关闭。
五、影响范围不断扩大
最初,塔克纳发现的35款扩展中,部分已经被Chrome应用商店下架了。但事情还没完,截至文章发布时,研究人员又发现了22个类似的扩展程序,这样一来,有问题的扩展总数达到了57个。而使用这些扩展的用户总数已经高达600万,并且部分恶意程序仍然能在网上看到。像“Cuponomia – 优惠券与返现”就有70万用户安装,还有“火盾扩展保护”有30万用户安装,这些数据让人触目惊心。
六、紧急应对措施
为了保障自身安全,用户需要采取以下紧急措施:
- 立即检查并卸载相关扩展:赶紧查看自己安装的Chrome扩展,发现可疑的就卸载掉。
- 修改重要账户密码:尤其是开启了双重验证的账户,更要及时修改密码,防止账号被盗。
- 使用杀毒软件扫描:用可靠的杀毒软件对电脑进行全盘扫描,查杀可能存在的恶意程序。
- 警惕不明链接:千万别随意点击来源不明的扩展安装链接,避免再次中招。
目前,谷歌安全团队已经介入调查此事。专家也提醒广大用户,要定期审查浏览器扩展的权限,如果遇到那些声称能“安全防护”,但却索要过多权限的扩展,一定要保持高度警惕,别轻易安装。在网络世界里,多一份小心,就能少一份风险。
