一组 57 个拥有 600 万用户的 Chrome 扩展被发现具备极高风险功能,包括监控浏览行为、访问域名 cookie 及可能执行远程脚本。
这些扩展属于"隐藏"性质,既不会出现在 Chrome 应用商店搜索结果中,也不会被搜索引擎索引,用户仅能通过直接链接安装。
此类扩展通常是企业内部工具或开发中的私有插件,但威胁者可能正利用其隐蔽特性,通过广告和恶意网站大肆传播以规避检测。
高风险 Chrome 扩展
这些扩展由 Secure Annex 研究员 John Tuckner 发现,他在检查一款名为'Fire Shield Extension Protection'的可疑扩展后,首次揭露了其中的 35 个。
该扩展经过深度混淆,并包含回调至一个用于发送从浏览器收集信息的 API。
通过扩展中包含的一个名为“unknow.com”的域名,塔克纳发现了更多包含相同域名的扩展程序,这些扩展声称提供广告拦截或隐私保护服务。
然而,所有这些都包含过于宽泛的权限,允许它们执行以下操作:
- 访问 cookies,包括敏感头部信息(如'Authorization')
- 监控用户浏览行为
- 修改搜索提供商(及搜索结果)
- 通过 iframe 注入并执行远程脚本于访问页面
- 远程激活高级追踪功能
尽管 Tuckner 未发现任何扩展窃取用户密码或 cookie,但这些扩展所具备的极高风险权限、严重混淆的代码及隐藏逻辑已足以让研究者将其标记为高风险,甚至可能是间谍软件。
"Tuckner 解释道:'其他函数中还隐藏着更多混淆信号,表明存在显著的指令与控制潜力,例如能够列出访问量最高的网站、打开/关闭标签页、获取常访问的站点列表,并能以临时方式执行上述多项功能。'"
"这些功能中有许多尚未经过验证,但再次强调,在声称仅提供简单功能(如保护用户免受恶意扩展侵害)的 35 个扩展中发现此类功能的存在,实在令人担忧。"
今日早些时候,研究人员又添加了 22 个被认为属于同一行动的扩展,使得总数达到 57 个,被 600 万人使用。其中一些新增扩展也是公开的。
塔克纳表示,自上周他提交报告后,许多扩展已从 Chrome 网上应用商店中移除,但仍有部分留存。
完整列表可在此处查看,下载量最高的项目如下:
- Cuponomia – 优惠券与返现(70 万用户,公开)
- 防火盾扩展保护(30 万用户,未列出)
- Chrome™ 全面安全防护(30 万用户,未上架)
- Chrome™ Protecto(20 万用户,未上架)
- Chrome 浏览器守护者(20 万用户,公开)
- Chrome™ Securify(20 万用户,未上架)
- Chrome 浏览器医生检查(20 万用户,公开)
- 选择您的 Chrome 工具(20 万用户,未列出)
如果您安装了上述任何扩展,建议您立即卸载它们,并出于谨慎考虑,对在线账户进行密码重置。
谷歌向 BleepingComputer 表示,他们已注意到 Tuckner 的报告,并正在对这些扩展进行调查。
BleepingComputer 也就这些扩展中混淆代码的问题联系了开发者,但截至目前尚未收到回复。
原文始发于微信公众号(独眼情报):安装量达 600 万的 Chrome 扩展程序存在跟踪代码
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论