Cnbeta 04月12日 11:17
研究人员发现存在风险的Chrome扩展程序网络 安装量超过400万
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html

 

安全研究员发现 Chrome 网上应用店存在 35 款可疑扩展程序,这些程序伪装成搜索助手、广告拦截器等,却暗藏恶意行为。这些程序请求访问敏感数据,代码混淆,且与未使用的域名关联,用户安装量超 400 万。尽管未发现明确的数据窃取证据,但高权限请求和可疑域名引发严重安全担忧。研究人员建议立即卸载这些扩展程序,以保护用户数据安全。

🕵️‍♀️ 许多扩展程序伪装成常用工具:这些恶意扩展程序伪装成搜索助手、广告拦截器、安全工具等,诱导用户安装。

🔑 扩展程序请求高权限:这些程序请求访问浏览器标签页、窗口、Cookie、存储等敏感数据,权限过高,可能被用于恶意攻击。

🌐 扩展程序与未使用的域名关联:这些扩展程序都神秘地链接到一个未使用的域名,代码混淆,增加了安全风险。

⚠️ 扩展程序安装量巨大:这些有问题的扩展程序总安装量超过 400 万次,潜在影响范围广泛。

🚩 部分扩展带有“精选”标签:其中 10 款扩展程序带有 Google 的“精选”标签,这增加了用户对它们的信任,也使得问题更加复杂。

一位安全研究人员最近发现了近三十个 Chrome 网上应用店扩展程序表现出可疑行为。许多扩展程序伪装成搜索助手,而另一些则伪装成广告拦截器、安全工具或扩展程序扫描器——所有这些扩展程序都神秘地链接到一个未使用的域名。

浏览器安全公司Secure Annex的创始人 John Tucker在协助一位安装了一个或多个用于安全监控的客户时发现了这些可疑的扩展程序。第一个危险信号是:在他分析的132 个扩展程序中,有两个未公开,这意味着它们不会出现在网络搜索或 Chrome 网上应用店中。用户只能通过直接 URL 下载这些工具。未公开的扩展程序并不少见。企业有时会使用它们来限制公众对内部工具的访问。

然而,恶意攻击者经常使用未列出的扩展程序来利用用户,使其隐藏起来,使Google难以发现。Tucker 开始分析这两个可疑扩展程序后,又发现了 33 个。许多扩展程序连接到相同的服务器,使用相同的代码模式,并请求相同的权限。

这些应用程序会请求用户同意访问敏感数据,包括浏览器标签页和窗口、Cookie、存储、脚本、警报和管理 API。这种访问级别异常高,使得不法分子能够轻易利用用户系统进行各种恶意攻击。

塔克周四在博客中写道:“目前,这些信息应该足以让任何组织合理地将其从环境中移除,因为它会带来不必要的风险。” 他在给 Ars Technica 的一封电子邮件中补充道:“这 35 款应用中唯一需要的权限就是管理权限。”

除了这些应用程序请求的权限数量可疑之外,它们的编程也同样令人担忧。塔克发现这些应用程序的代码被严重混淆。开发人员这样做只是为了让其他人难以检查和理解其行为。

这 35 款应用的用户总安装次数超过 400 万次。虽然尚不清楚这些未公开的扩展程序如何在未出现在搜索结果中的情况下引起如此多的关注,但 Tucker 指出,其中 10 款带有 Google 的“精选”标签——这一称号通常授予 Google 审查过并信任的开发者。他没有详细说明这可能如何影响这些扩展程序的分发。

塔克没有找到直接证据表明这些扩展程序会窃取数据,但这并不排除这种可能性。讽刺的是,一款名为“Fire Shield Extension Protection”的工具声称可以扫描 Chrome 浏览器,查找恶意或可疑插件。分析后,塔克发现了一个 JavaScript 文件,它可以从多个可疑域名(包括一个名为 unknow.com 的域名)上传数据并下载代码和指令。

这个域名之所以引人注目,是因为所有 35 个应用都在其后台服务进程中引用了它,尽管它没有任何可见的网络存在或明确的功能。Whois记录将其列为“可用”和“待售”,如此多的扩展程序指向它,显得尤为奇怪。

“有趣的是,这个域名与代码没有任何关联,但对于将所有扩展链接在一起却非常有用!”塔克说。

Secure Annex 在其博客和可公开访问的电子表格中发布了一份完整的扩展程序 ID 和永久哈希列表。上图显示了更简单的扩展程序名称列表。如果您安装了其中任何一个,Tucker 建议立即将其删除——安全风险远大于任何潜在的好处。

Fish AI Reader

Fish AI Reader

AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。

FishAI

FishAI

鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑

联系邮箱 441953276@qq.com

相关标签

Chrome 扩展程序 安全风险 恶意软件 数据安全
相关文章