【危險注意】下載量達140萬次 Google Chrome 擴充套件竊瀏覽數據
Google Chrome 的擴充套件(Chrome Extension)種類多元化,方便用家在不同需求上使用。然而最近來自 McAfee 的威脅分析師發現了五款 Google Chrome 擴充套件,竊取用戶的瀏覽活動,而它們的下載量更已超過 140 萬次。
這些惡意擴充套件的目的是監控用戶何時訪問 e-commerce 網站,並修改訪問者的 cookie,使其看起來好像是透過其他轉接連結點進網頁。而這些擴充套件的製作者在電子商店作任何購買,都能從中獲得會員費。
McAfee 研究人員發現的五個惡意擴充套件及其下載量如下:
Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800,000 次下載
Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300,000 次下載
Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200,000 次下載
FlipShope – Price Tracker Extension (adikhbfjdbjkhelbdnffogkobkekkkej) – 80,000 次下載
AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20,000 次下載
由於上述的擴充套件仍然具有其描述的功能,令受害者更難注意到背後的惡意活動。儘管使用這些擴充套件不會直接影響用戶,但背後隱藏嚴重的私隱風險。如果有使用以上任何一款的擴充套件,即使覺得其功能有用,還是強烈建議立即從瀏覽器中刪除。
關於這些擴充套件的運作,McAfee 發現以上五款擴充套件都有類似的行為。Web 應用程式清單(“manifest.json” file)指示擴充套件在系統上的行為方式,加載一個多功能劇本(B0.js),將瀏覽數據發送到攻擊者控制的網域(“langhort[.] com”)。每次用戶訪問新 URL 時,數據都會通過 POST 請求傳遞。傳送至欺詐者的訊息包括 base64 格式的 URL、用戶 ID、設備位置(國家、城市、郵政編碼)和編碼的轉接 URL。
如果訪問過的網站,與擴充套件製作者及其有活動關係的網站列表中的任何條目相匹配,則伺服器會使用兩種可能的功能其中之一來響應 B0.js。
第一個 “Result[‘c’] – passf_url” 命令劇本將提供的 URL(引用鏈接)作為 iframe 插入到訪問的網站上。
第二個 “Result[‘e’] setCookie”,命令 B0.js 修改 cookie,或者如果擴充套件已被授予執行此操作的相關權限,則將其替換為提供的 cookie。
為了逃避檢測、分析並混淆研究人員或令用戶有所警惕,一些擴充套件在開始發送瀏覽器活動前,會延遲 15 天的安裝時間。Bleeping Computer 指,Chrome Web Store 上仍提供 “Full Page Screenshot Capture – Screenshotting” 及 “FlipShope – Price Tracker Extension”。而兩款 Netflix Party 擴充套件已從商店中刪除,但由於不會從網絡瀏覽器中刪除,因此用戶應手動操作來卸載。
