Google移除500個有害Chrome擴充套件 170萬名使用者資料恐已遭竊

Google從自家的Web Store中移除500個惡意Chrome瀏覽器擴充套件,這些惡意擴充套件被發現會在駭客的控制下,竊取前端使用者的瀏覽器資料。

Google從自家的Web Store中移除500個惡意Chrome瀏覽器擴充套件,這些惡意擴充套件被發現會在駭客的控制下,竊取前端使用者的瀏覽器資料。

這些惡意擴充套件屬於惡意廣告與詐騙廣告的一環,最起碼從2019年1月開始散佈,然而也有相關證據指出駭客很可能從2017年便開始佈局。

資安調查員Jamila Kaya與Cisco所有的Duo Security的聯合調查發現這個惡意行為,找出70餘個共安裝1,700萬次有問題的Chrome擴充套件。隨後安全調查人員將結果分享給Google,而Google也循線找出其他430個有問題的擴充套件,然後一起下架。

惡意擴充套件列表

「只要追蹤型廣告持續存在,而使用者所使用的保護不足,那麼將惡意廣告作為主流攻擊手段的情況將更加嚴重。」Kaya與Duo Security的Jacob Rickerd在報告中說道。

秘密隱身的惡意廣告

透過Duo Security的Chrome擴充套件評估工具,稱之為CRXcavator,研究人員確定惡意擴充套件,將用戶端的電腦秘密連接到攻擊者所控制的C&C伺服器,外洩使用者資料,並讓遠端攻擊者可以瀏覽受害者的資料。

這些擴充套件以廣告服務為幌子,原始碼功能幾乎相同但名稱卻有所不同,以閃避Chrome Web Store的偵測演算法。

另外,擴充套件再要求存取剪貼簿及所有Cookies的權限,還定期連接到與外掛名稱相同的網域如Mapstrekcom、AcradeYomcom等,取得把自己解除安裝的指令。

一旦惡意套件與控制站連線之後,將會等待取得進一步的指令、上傳用戶資料的位址、接收惡意廣告的列表更新,並將使用者的瀏覽器工作階段(session)重新導向合法與非法混雜的網域。

這不是第一次

這並不是第一次出現惡意擴充套件,去年7月華盛頓郵報與安全研究員Sam Jadali也發現一樁稱之為DataSpii的資料外洩手法,也是偽裝成Chrome與Firefox的擴充套件來入侵使用者的電腦。

這些惡意擴充的目的是蒐集使用者瀏覽資料,包括個人識別資料,並傳送到不知名的第三方資料掮客網站,再賣給名為Nacho Analytics的資料分析公司(目前已關閉),並將分析結果以近乎即時的速度傳送給客戶。

Google隨後也立即作出反應,從2019年10月15日開始,要求所有的Chrome擴充套件只能存取「最低資料量」,禁止任何沒有隱私權政策與蒐集使用者瀏覽習慣的擴充套件。

Source: The Hacker News

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416