一组拥有 6,000,000 名用户的 57 个 Chrome 扩展程序被发现具有非常危险的功能,例如监控浏览行为、访问域的 cookie 以及可能执行远程脚本。
这些扩展程序是“隐藏的”,这意味着它们不会出现在 Chrome 网上应用店搜索中,搜索引擎也不会对其进行索引,并且只有用户拥有直接 URL 才能安装。
通常,此类扩展程序是私有软件,例如公司内部工具或仍在开发中的插件。然而,威胁行为者可能会利用它们来逃避检测,同时通过广告和恶意网站积极推广它们。
这些扩展程序是由 Secure Annex 研究员约翰·塔克纳 (John Tuckner) 发现的,他在检查了一个名为“Fire Shield Extension Protection”的可疑扩展程序后,发现了前 35 个扩展程序。
该扩展程序经过严重混淆,包含用于发送从浏览器收集的信息的 API 回调。
通过扩展程序中包含的名为“unknow.com”的域名,塔克纳发现了包含相同域名的其他扩展程序,这些扩展程序声称提供广告拦截或隐私保护服务。
然而,所有这些都包含过于宽泛的权限,允许他们执行以下操作:
-
-
-
通过 iframe 在访问的页面上注入并执行远程脚本
-
虽然 Tuckner 没有发现任何窃取用户密码或 cookie 的扩展程序,但过于危险的功能、严重混淆的代码和隐藏的逻辑足以让研究人员将它们标记为有风险的,甚至是间谍软件。
塔克纳解释说:其他功能中还存在额外的混淆信号,表明存在显著的命令和控制潜力,例如列出访问次数最多的网站、打开/关闭标签、获取访问次数最多的网站以及以临时方式运行上述许多功能。
其中许多功能尚未得到验证,但再次强调,35 个扩展程序中存在此功能,这些扩展程序声称可以执行一些简单操作,例如保护您免受恶意扩展程序的侵害,这非常令人担忧。
今天早些时候,研究人员又添加了 22 个疑似属于同一行动的扩展程序,使扩展程序总数达到 57 个,用户数量达到 600 万。其中一些新增的扩展程序也是公开的。
塔克纳表示,根据他上周的报告,许多扩展程序已从 Chrome 网上应用店中删除,但其他扩展程序仍然存在。
-
Cuponomia – 优惠券和现金返还 (700,000 名用户,公开)
-
-
Total Safety for Chrome™(300,000 名用户,未公开)
-
Protecto for Chrome™(200,000 名用户,未公开)
-
-
Securify for Chrome™(200,000 名用户,未公开)
-
Doctor 为 Chrome 提供的浏览器检查(200,000 名用户,公开)
-
选择您的 Chrome 工具(200,000 名用户,未公开)
如果您安装了上述任何程序,建议您立即将其删除,并且出于谨慎考虑,对在线帐户执行密码重置。
谷歌告诉 BleepingComputer,他们知道塔克纳的报告并正在调查这些扩展。
原文始发于微信公众号(犀牛安全):安装量达 600 万的 Chrome 扩展程序隐藏了跟踪代码功能
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4022616.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论