由安全研究员 Jamila Kaya 和 Cisco Duo Security 团队进行的艰苦调查发现了 500 多个恶意 Chrome 浏览器扩展。谷歌现在已从 Chrome 网上应用店中删除了恶意扩展。
这些扩展程序运行恶意广告,并且在未经用户同意的情况下将私有浏览数据上传到服务器。研究人员发现,恶意扩展已经运行了至少两年,影响了大约 170 万用户。
Kaya 利用 Duo 的免费自动 Chrome 扩展安全评估工具 CRXcavator 进行了初步发现。随后,该研究人员与 Duo 的其他研究人员合作寻找更多证据。
研究人员在博客中写道:“ Chrome 扩展程序的创建者专门开发了扩展程序,这些扩展程序模糊了用户的基本广告功能。” “这样做是为了将浏览器客户端连接到命令和控制架构,在用户不知情的情况下泄露私人浏览数据,使用户面临通过广告流进行利用的风险,并试图逃避 Chrome Web Store 的欺诈检测机制。 ”
他们主要依赖于将用户重定向到恶意网站的插件。研究人员指出,这些插件与有害网站的名称相同。
例如,研究人员在两个插件 Mapstrek 和 Arcadeyum 中找到了相似的源代码。与插件链接的恶意网站是 Mapstrek <dot> com 和 Arcadeyum <dot> com。这些网站托管在 AWS 上。
为了避免受到类似恶意扩展的影响,研究人员建议保持跟踪并定期检查浏览器中安装的扩展,并删除可疑扩展(如果有)。
微信扫一扫