一组包含 57 款 Chrome 扩展程序的集合被发现具有非常危险的功能,这些扩展程序拥有 600 万用户,能够监控浏览行为、访问域的 cookie,甚至可能执行远程脚本。
这些扩展程序是“隐藏”的,意味着它们不会出现在 Chrome 网络商店的搜索结果中,也不会被搜索引擎索引,用户只能通过直接的 URL 地址进行安装。
通常,这类扩展程序是私有软件,如公司内部工具或仍在开发中的附加组件。然而,威胁行为者可能利用它们来规避检测,同时通过广告和恶意网站大力推广。
具有风险的 Chrome 扩展程序
这些扩展程序是由 Secure Annex 的研究员 John Tuckner 发现的,他在检查一个名为“Fire Shield Extension Protection”的可疑扩展程序后,发现了最初的 35 个扩展程序。
该扩展程序经过了高度的混淆处理,并包含回调到一个 API,用于发送从浏览器收集的信息。
然而,所有这些都包含了过于宽泛的权限,允许它们执行以下操作:
- 访问 cookies,包括敏感的标头(例如,'Authorization')
- 监控用户的浏览行为
- 修改搜索引擎(及搜索结果)
- 通过 iframe 在访问的页面上注入并执行远程脚本
- 远程激活高级跟踪功能
尽管 Tuckner 没有发现任何扩展程序窃取用户密码或 cookie,但这些扩展程序具有极高风险的功能、高度混淆的代码和隐藏的逻辑,足以让研究人员将其标记为高风险,甚至可能是间谍软件。
“其他功能中还存在额外的混淆信号,表明存在显著的命令和控制潜力,例如列出访问过的顶级网站、打开/关闭标签页、获取访问过的顶级网站,以及以临时方式运行上述许多功能的能力,”
“尽管这些功能尚未得到验证,但有35个声称能够简单保护用户免受恶意扩展程序侵害的扩展程序具备这种能力,这非常令人担忧。”
今天早些时候,研究人员添加了 22 个更多扩展,被认为属于同一操作,总数达到 57 个扩展,被 600 万人使用。一些新添加的扩展也是公开的。
Tuckner 表示,许多扩展在其上周的报告之后已被从 Chrome 网络商店移除,但其他一些仍然存在。
以下是下载量最高的几个扩展:
- Cuponomia – 优惠券与返现(70 万用户,公开)
- 防火盾扩展保护(30 万用户,未列出)
- Chrome™ Total Safety(300,000 用户,未列出)
- Chrome™ Protecto(200,000 用户,未列出)
- Chrome 浏览器看门狗(200,000 用户,公开)
- Chrome™ Securify(200,000 用户,未列出)
- Chrome 浏览器的 Doctor 浏览器检查(200,000 用户,公开)
- 选择你的 Chrome 工具(200,000 用户,未列出)
如果你安装了上述任何扩展,建议你立即卸载它们,并出于谨慎考虑,对在线账户进行密码重置。
谷歌告诉 BleepingComputer,他们已知晓 Tuckner 的报告,并正在调查这些扩展。
BleepingComputer 也联系了这些扩展程序的开发者,就混淆代码提出了问题,但截至目前尚未收到回复。
原文始发于微信公众号(道一安全):拥有 600 万次安装的 Chrome 扩展程序隐藏了后门代码
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论