【上樑不正下樑歪】Chrome存入侵漏洞 擴充套件扮中介

日前，Google 呼籲所有 Windows、Mac 及 Linux 用戶立即更新 Google Chrome 至 77.0.3865.90 版本，以修補一個嚴重及 3 個高危威脅，涉及 use-after-free 使用已釋放記憶體漏沮，黑客可以遙距於目標系統執行任意程式碼及阻斷服務，受害用戶只須開啟或被引導至特定網頁，即可以觸發攻擊而毋須再有任何互動。

唔單只 Chrome 出事，擴充套件亦有問題。近日，網絡安全公司 Adguard 研究員發現兩款極之衰格嘅喬裝外掛，竟然冒充非常多人用嘅廣告封鎖套件 AdBlock 及 uBlock。個名同真身幾乎一模一樣，叫 AdBlock by AdBlock, Inc 及 uBlock by Charlie Lee，分別已經有 80 萬及 85 萬個下載紀錄，仲有 4.5 粒與 5 粒星評價，有冇搞錯。最衰嘅，係兩個喬裝外掛啟動之後，真係扮演廣告封鎖中介，只不過 55 個鐘之後就現真身，偷偷地進行 Cookie Stuffing。

Cookie Stuffing，亦叫 Cookie Dropping，係一種流量騎劫，亦係其中一種常見嘅網頁及瀏覽器欺詐手段。Cookie Stuffing 主要係於未經用戶同意嘅情況下，將加入參數嘅 cookie 植入用戶瀏覽器，呢啲有料 cookie 會追蹤用戶嘅瀏覽活動，假如用戶有任何網上消費活動，黑客就會向商戶索取／截取他人佣金。

單係呢兩個喬裝外掛，已經令超過 160 萬個用戶中招，而受害嘅網站亦為數不小，Alexa Top 10000 中就有超過 300 個合法網站遭殃，當中包括 Microsoft、LinkedIn、booking.com、teamviewer、aliexpress 等。Google 方面已經於上周四將兩個喬裝外掛從 Chrome Web Store 移除，已下載到用戶瀏覽器上嘅外掛亦已經停用。

資料來源：https://bit.ly/2kWuOpN、https://bit.ly/2kt4K5F