瀏覽器的擴充功能可以提升用戶的上網體驗,但也暗藏危機,以下將使用最常見的惡意擴充功能作為例子,講解如果不慎安裝,可能會發生怎樣的後果。
甚麼是擴充功能和有甚麼用途?
瀏覽器的擴充功能是透過插件增加瀏覽器的功能,例如,能夠阻擋網頁的廣告、做筆記、檢查拼寫等等,最普及的瀏覽器都有官方擴充功能平台協助用戶選擇、比較和安裝想要的插件,但擴充功能也能透過非官方資源安裝。而且需要知道,擴充功能要完成功作,需要獲得讀取和更換用戶瀏覽網頁的權限,沒有此權限,擴充功能接近沒有用途。
就以Chrome的官方平台為例,Google Translate擴充功能在私隱一項列明,它會收集用戶的位置、活動和網站內容,而事實上它需要存取所有網站資料,否則根本無法運作,更甚者很多用戶根本不閱讀有關訊息而自動點擊新增,這為網絡犯罪份子提供了機會去散播廣告程式甚至至是惡意程式,前者會在用戶上網瀏覽時產生有點擊便能賺錢的連結,更深入可以分析用戶的搜尋內容和其他資料,如果是惡意程式情況則更惡劣,信用卡資料、cookies和其他敏感資料都可能落入壞人手上。
針對Office檔案的惡意工具
近年網絡犯罪份子很積極地散播惡意的WebSearch廣告擴充功能,這「家族成員」經常偽裝成Office檔案的功具,例如Word轉換為PDF文件,有些更具有聲稱的功能,但在安裝之後便會用一個mini-site取代用戶常用瀏覽器主頁,當中有搜索欄和追踪的附屬連結到第三方資源,預設搜索引擎也會變成search.myway,這容許網絡犯罪份子儲存及分析用戶的插尋內容。
難以脫身的廣告軟件
DealPly作為常見的廣告軟件擴充功能,經常透過盜版下載內容潛入用戶的電腦,它的運作有如WebSearch插件一樣,但它的獨特之處是用戶難以脫身,即使用戶移除廣告擴充功能,它將會在瀏覽器再打開時重新安裝到裝置之上。
AddScript交出cookies
AddScript家族通常偽裝成從社交網絡下載音樂和視像,又或者代理伺服器管理員,不過在這些功能之上,他們會以惡意代碼感染受害者的裝置,攻擊者然後使用這些代碼,在用戶不留意的背景上瀏覽影片以增加瀏覽人數去賺錢。另一種收入來源是從受害者裝置下載cookies,通常資料是儲存在用戶的裝置,在訪問網站時可以用戶數碼營銷,而AddScript就會把用戶導引致他們的網站,藉此儲存用戶的cookies。
FB Stealer – cookie小偷
FB Stealer的運作與AddScript完全不同,它沒有下載額外的項目到裝置也能盜取重要的cookies,因為它會連同NullMixer木馬程式一起進入裝置,通常是因為用戶嘗試下載已被入侵的軟件安裝工具,一經安裝,木馬修改用來儲存Chrome瀏覽器設定的檔案,而且在啟動後,FB Stealer假裝成Google Translate擴充功能,以降低用戶的戒心,擴充功能像真度十足,唯一缺憾是瀏覽器會警告官方平台不含有關擴充功能的資料。
FB Stealer的家族成員也會更換預設搜尋引擎,但它的主要功能是盜取Facebook的cookies,使攻擊者能夠取得帳號的密碼,從而騎劫社交媒體帳號。
如何保持安全
瀏覽器擴充功能是有用的工具,但要小心提防並清楚當中可能存在的危險性,所以我們建議以下的保安考量:
- 只從官方資源下載擴充功能,但要謹記這樣也沒有100%的安全保證,惡意擴充軟件有能力滲透在官方平台,只是有關平台相對比較著重安全,移除惡意擴充功能的機會比較高。
- 不要安裝太多擴充功能和定期檢查清單,查看有沒有不是你自己安裝的東西存在。
- 使用可靠的保安方案
資料來源:Kaspersky Blog
