谷歌瀏覽器曝安全信息泄露，惡意軟件可下載 3200 萬個擴展項攻擊用戶

技術編輯：徐九丨發自 SegmentFault 思否

北京時間 6 月 18 日，來自加利福尼亞州桑尼維爾的威脅檢測廠商 Awake Security 在媒體採訪中表示，一款惡意軟件可經過谷歌瀏覽器下載 3200 萬個擴展程序來攻擊用戶，攻擊的範圍涉及電子郵件、工資單和其餘敏感項。

迄今爲止影響最廣的惡意 Chrome 商店事件

根據下載量，Awake 聯合創始人兼首席科學家 Gary Golomb 表示，這是迄今爲止影響最廣的惡意 Chrome 商店事件。

對此，Google 拒絕討論與之前的活動相比，這次最新的間諜軟件形成的影響範圍，以及爲何過去承諾會更緊密地監督產品，但爲何並無經過自行檢測刪除惡意擴展程序。

Google 發言人 Scott Westover 在採訪中告訴媒體：「當咱們收到網上商店中違反咱們政策的擴展程序的警報時，咱們將採起行動並將結合這些事件的經驗，以改進咱們的自動化和手動分析系統。」

據悉，上個月谷歌公司已從谷歌網上應用商店中刪除 70 多個惡意加載項。目前尚不清楚誰在分發該惡意軟件。Awake 表示，開發人員在向 Google 提交擴展程序時提供了虛假的聯繫信息。

瀏覽器擴展亂象

隨着瀏覽器擴展安裝數量的增長，隨之潛在的風險也在增長。

不少用戶以爲擴展程序都是安全的，但實際上，擴展程序能夠讀取設備上瀏覽器與後端服務器之間交換的全部數據，不少瀏覽器擴展有可能令用戶處於加密劫持、勒索軟件和其餘惡意軟件攻擊風險之下。

去年，一項針對 12 萬個 Chrome 擴展的調查顯示，超過三分之一的谷歌 Chrome 擴展要求用戶容許訪問他們在任何網站上的全部數據。同一項調查還發現，Chrome 網上商店列出的 12 萬個 Chrome 擴展中，大約 85% 沒有列出隱私政策，這意味着沒有具備法律約束力的文件來描述擴展開發者承諾如何處理用戶數據。

其餘的調查結果還包括，77% 的測試 Chrome 擴展沒有列出支持站點，32% 的擴展使用了包含公開漏洞的第三方 JavaScript 庫，9% 的擴展能夠訪問和讀取 cookie 文件，其中一些用於身份驗證操做。

據悉，在交易市場中惡意分子會從對維護擴展失去興趣的開發人員那裏購買擴展程序，併發起魚叉式網絡釣魚攻擊，劫持擴展開發人員的賬戶，從而推送惡意代碼。

因爲這些擴展插件不只被安裝在我的設備上，也被安裝在企業的員工設備上，所以它們可收集大量重要的企業信息，包括員工的工做狀況、部分網頁內容、API 密鑰、私有原始代碼、私有 LAN 架構、防火牆登陸密碼及經營內容等

---

因爲瀏覽器擴展程序有權訪問被用戶瀏覽的全部網頁，因此這些擴展程序能夠執行幾乎全部操做，如竊取用戶的網上賬戶密碼等。所以，建議你們儘量減小擴展應用的安裝，並僅安裝可靠來源的擴展應用，瞭解各擴展程序申請的權限。

對於一些企業用戶來講，有些供應商提供企業版瀏覽器，裏面包含了管理應用及擴展的策略引擎、數據安全及隱私功能，還有瀏覽體驗，能夠經過調整設置以加強隱私及安全性。