HackerNews 编译,转载请注明出处:
安全研究人员发现,数十款Chrome扩展程序(其中多款在Chrome应用商店获得推荐位,但存在搜索引擎未收录的隐藏版本)含有追踪用户的隐蔽功能。这些扩展程序累计安装量已达600万次。
Secure Annex机构研究员John Tuckner揭露了一个由58个扩展程序构成的网络。这些扩展程序均获取了过于宽泛的权限,并暗藏可能恶意操作的功能模块,包括访问Cookie和令牌、监控用户行为、执行远程代码及窃取其他敏感数据。
“这些扩展具备显著的指令控制能力,例如罗列用户高频访问网站、操控浏览器标签页开关、获取用户访问热点等。”研究人员在报告中指出。这些扩展伪装成隐私保护或实用工具,涵盖优惠券搜索器到广告拦截器等多种类型,部分甚至声称能防护其他恶意扩展。
网络安全媒体Cybernews研究团队近期警示称,多数热门Chrome扩展在安装时会索取过度宽泛的侵入性权限。分析数据显示,每100个扩展中就有86个要求获取高危险权限。
Tuckner的发现清单进一步印证了扩展程序的潜在危险性。
被发现的扩展大多处于未上架状态,这意味着普通用户无法通过Chrome应用商店或搜索引擎直接发现。用户仅能通过特定URL链接访问,而此类链接通常通过恶意广告、弹窗、钓鱼欺诈、虚假更新提示等渠道传播。
研究人员强调:”为何这些普通用户无法发现的扩展会被谷歌标注为’推荐’?这完全突破了我的认知底线。普通用户很可能将’推荐’标识等同于官方认证的可靠产品。’推荐’与’不可发现’两种属性绝不应该同时存在。”
Tuckner最初通过拼写错误的”unknow[.]com”域名锁定了35个未上架可疑扩展。在Obsidian Security的技术支持下,研究团队将具有相同行为特征的扩展补充至清单。据Bleeping Computer报道,谷歌已获知该研究结果。
目前可疑扩展已上报至Chrome,研究人员持续监控其状态演变。”值得庆幸的是,部分扩展现已被移出Chrome应用商店,但并非全部!为何存在如此差异!”研究人员在社交媒体发文质疑。
Tuckner公开了含有可疑功能的扩展清单,安装量排名前位的包括:
1、Cuponomia优惠券与返现工具(超70万安装)
2、浏览器防护盾(超30万安装)
3、Chrome全安防护(超30万安装)
4、医生版浏览器检测(超20万安装)
这些扩展关联域名均使用相似关键词模式,完整危害指标(IoC)清单已包含在研究报告中。
恶意扩展判定依据分析:
1、权限清单异常:所有Chrome扩展的manifest文件都需声明所需权限。要求获取与基础功能不匹配的过度权限成为首要疑点
2、域名拼写错误:扩展程序通信域名存在明显拼写错误,如”unknow[.]com”具有典型诱导特征
3、代码结构异常:宣称功能的实现代码量极少甚至缺失,核心代码经过深度混淆处理
4、远程控制能力:扩展配置支持远程操控,代码结构具备间谍软件或信息窃取程序家族特征
深度代码分析揭露了Cookie窃取、用户追踪、强制设置搜索引擎、通过推荐参数劫持收益等多项恶意功能。所有问题扩展均采用相同代码模式、回调域名结构及权限配置列表。
Cybernews团队再次警示:Chrome扩展权限直接决定其对浏览器及系统的控制范围。建议用户定期审查并删除闲置扩展,严格遵循安全操作规范。
消息来源:cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
