Google 移除 500 個有害 Chrome 擴充套件 170 萬名使用者資料恐已遭竊

Google 從自家的 Web Store 中移除 500 個惡意 Chrome 瀏覽器擴充套件，這些惡意擴充套件被發現會在駭客的控制下，竊取前端使用者的瀏覽器資料。

這些惡意擴充套件屬於惡意廣告與詐騙廣告的一環，最起碼從 2019 年 1 月開始散佈，然而也有相關證據指出駭客很可能從 2017 年便開始佈局。

資安調查員 Jamila Kaya 與 Cisco 所有的 Duo Security 的聯合調查發現這個惡意行為，找出 70 餘個共安裝 1,700 萬次有問題的 Chrome 擴充套件。隨後安全調查人員將結果分享給 Google，而 Google 也循線找出其他 430 個有問題的擴充套件，然後一起下架。

「只要追蹤型廣告持續存在，而使用者所使用的保護不足，那麼將惡意廣告作為主流攻擊手段的情況將更加嚴重。」Kaya 與 Duo Security 的 Jacob Rickerd 在報告中說道。

秘密隱身的惡意廣告

透過 Duo Security 的 Chrome 擴充套件評估工具，稱之為 CRXcavator，研究人員確定惡意擴充套件，將用戶端的電腦秘密連接到攻擊者所控制的 C&C 伺服器，外洩使用者資料，並讓遠端攻擊者可以瀏覽受害者的資料。

這些擴充套件以廣告服務為幌子，原始碼功能幾乎相同但名稱卻有所不同，以閃避 Chrome Web Store 的偵測演算法。

另外，擴充套件再要求存取剪貼簿及所有 Cookies 的權限，還定期連接到與外掛名稱相同的網域如 Mapstrekcom、AcradeYomcom 等，取得把自己解除安裝的指令。

一旦惡意套件與控制站連線之後，將會等待取得進一步的指令、上傳用戶資料的位址、接收惡意廣告的列表更新，並將使用者的瀏覽器工作階段 (session) 重新導向合法與非法混雜的網域。

這不是第一次

這並不是第一次出現惡意擴充套件，去年 7 月華盛頓郵報與安全研究員 Sam Jadali 也發現一樁稱之為 DataSpii 的資料外洩手法，也是偽裝成 Chrome 與 Firefox 的擴充套件來入侵使用者的電腦。

這些惡意擴充的目的是蒐集使用者瀏覽資料，包括個人識別資料，並傳送到不知名的第三方資料掮客網站，再賣給名為 Nacho Analytics 的資料分析公司（目前已關閉），並將分析結果以近乎即時的速度傳送給客戶。

Google 隨後也立即作出反應，從 2019 年 10 月 15 日開始，要求所有的 Chrome 擴充套件只能存取「最低資料量」，禁止任何沒有隱私權政策與蒐集使用者瀏覽習慣的擴充套件。

Source: The Hacker News