安全研究人员发现57款Chrome浏览器扩展存在高风险行为,这些扩展总安装量达600万次,具备监控用户浏览行为、获取域名cookie以及可能执行远程脚本等危险功能。
隐蔽的分发方式
这些扩展具有"隐身"特性:既不会出现在Chrome应用商店的搜索结果中,也不会被搜索引擎收录,用户必须通过直接链接才能安装。此类扩展通常作为企业内部工具或开发中的测试版插件使用。
潜在的恶意用途
安全专家指出,网络攻击者可能正利用这种隐蔽特性规避安全检测,同时通过广告和恶意网站大规模推送这些扩展。这种分发方式使得传统安全扫描机制难以发现威胁。
存在风险的 Chrome 扩展程序
这些扩展程序是由安全机构 Secure Annex 的研究人员约翰・塔克纳(John Tuckner)发现的。他在检查了一个他认为可疑的名为 “火盾扩展保护(Fire Shield Extension Protection)” 的扩展程序后,发现了最初的 35 个有问题的扩展程序。
这个扩展程序的代码经过了深度混淆处理,并且包含了对一个应用程序编程接口(API)的回调,用于发送从浏览器收集到的信息。
Fire Shield 扩展中的跟踪功能 来源:Secure Annex
通过这个扩展程序中包含的一个名为 “unknow.com” 的域名,塔克纳发现了更多包含相同域名的扩展程序,这些扩展程序声称能提供广告拦截或隐私保护服务。
发现更多与同一外部域名通信的扩展程序 来源:Secure Annex
所有这些扩展程序都拥有过于宽泛的权限,使它们能够执行以下操作:
-
访问 Cookie,包括敏感的请求头信息(例如 “Authorization”); -
监控用户的浏览行为; -
修改搜索提供商(以及搜索结果); -
通过 iframe 在访问的页面上注入并执行远程脚本; -
远程激活高级追踪功能。
虽然塔克纳没有发现任何扩展程序窃取用户密码或 Cookie,但这些极高风险的功能、深度混淆的代码以及隐藏的逻辑,已足以让这位研究人员将它们标记为具有风险,并且有可能是间谍软件。
塔克纳解释道:“在其他函数中还有更多经过混淆处理的迹象,显示出这些扩展程序具有强大的命令和控制潜力,比如能够列出用户访问过的热门网站、打开 / 关闭标签页、获取用户访问过的热门网站,并且能够临时执行上述的许多功能。”
“其中许多功能尚未经过验证,但同样令人担忧的是,在 35 个声称只是提供简单保护功能(比如保护用户免受恶意扩展程序侵害)的扩展程序中,存在这样的功能。”
扩展程序所拥有的过度权限 来源:Secure Annex
影响范围持续扩大
最初发现的35款扩展中,部分已被Chrome应用商店下架。但截至发稿时,研究人员又发现了 22 个据信属于同一类别的扩展程序,使扩展程序的总数达到了 57 个,使用这些扩展程序的用户总数已达 600 万,部分恶意程序仍公开可见。
仍保留在 Chrome 网上应用店的一个有风险的扩展程序 来源:BleepingComputer
以下是下载量最高的几个扩展程序:
- Cuponomia
– 优惠券与返现(70 万用户,公开) - 火盾扩展保护
(30 万用户,未列出) - Chrome™ 全面安全防护
(30 万用户,未列出) - Chrome™ 保护者
(20 万用户,未列出) - Chrome 浏览器看门狗
(20 万用户,公开) - Chrome™ 安全卫士
(20 万用户,未列出) - 医生出品的 Chrome 浏览器检查工具
(20 万用户,公开) - 选择你的 Chrome 工具
(20 万用户,未列出)
紧急应对措施
-
立即检查并卸载相关扩展
-
修改所有重要账户密码(尤其开启双重验证)
-
使用杀毒软件全盘扫描
-
警惕来源不明的扩展安装链接
谷歌安全团队已介入调查。专家建议用户定期审查浏览器扩展权限,对于声称"安全防护"却索取过多权限的扩展保持高度警惕。
文章来源:freebuf
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
原文始发于微信公众号(黑白之道):5700万用户安装的Chrome扩展暗藏追踪代码
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论