Chrome Web Store發現數十款惡意擴充插件

雖然Chrome Web Store內找到惡意擴充插件的報導偶有出現，但這次發現數十款，合共累計下載8700萬次，最「受歡迎」的一款就有900萬次下載，數字十分驚人，本文將披露涉及的插件及其危險性，大家不妨留意自己有否是受害者之一。

在Chrome Web Store上的惡意擴充插件

事件由一位獨立網絡研究員找到名為PDF Toolbox的擴充插件，含有可疑編碼並出現在Chrome Web Store開始，表面看似是十分實用的工具，用於轉換Office文件和對PDF檔案進行簡單操作，它不但有大量用戶群，而且有良好的評價，下載數量接近200萬，平均分數4.2，然而這擴充插件內有一個「有趣功能」被發現，它但存取serasearchtop[.]com網站，從中讀取任意代碼到所有用戶瀏覽的網頁。

研究人員隨後在Chrome Web Store搜尋其他存取這個伺服器的擴充插件，發現數十個插件都有相同的額外功能，合共下載量達到5500萬次。最後，由於找到很多惡意擴充插件樣本，他徹底搜尋Google的商店，發現34款惡意擴充插件擁有完全不同的主要功能，合共下載高達8700萬次，最多人下載的是900萬次的「Autoskip for Youtube」。

這些擴充插件在2021和2022年間上載到Chrome Web Store，這意味著研究展開時他們至少已存在半年，然部份評價中發現有用戶投訴插件以廣告軟件連結取代插尋結果，而這些投訴被moderator把他們變得不顥眼。在研究人員公開報告，而另一專業團隊也在相同題目上發表另一份報告後，Google終於移險相關的危險擴充插件，而類似的情況也發生過在Google Play身上。

瀏覽器擴充插件惡意程式特別危險

瀏覽器擴充插件的惡意程式主要有三個重要的問題，首先是存取用戶資料的等級，事實上要實用的話，插件需要用戶同意讀取和更改用戶在所有網站上的資料，即是能夠隨意更改顯示網頁的內容，從而令插件製作者做到以下行為：

• 追蹤所有用戶活動，從而收集及出售他們的資料。
• 盜取銀行卡資料及帳號登入憑證
• 在網頁內加入廣告
• 更改搜尋結果的連結
• 更改瀏覽器主頁為廣告連結

插件的惡意功能可以隨時間和目標而改變，即使以前安全，隨著創作者出售插件，也有機會變成危險的插件。

第二個問題是用戶普遍不太注意瀏覽器擴充插件的安全，安裝大量插件並交出讀取及更改瀏覽器資料的權限，因為拒絕的話插件便不能運作。商店的moderator正常應該會顯示擴充插件的安全性，而這正是第三個問題，個案顯示功效似乎有限，儘管有用戶評價仍可能留在商店數年。

補救措施

即使插件被商店封鎖，這並不意味著它會自動從用戶的裝置上移除，所以大家應該檢查自己有否安裝這些惡意擴充插件，一旦發現便應該立即刪除。

Autoskip for Youtube	Soundboost	Crystal Adblock	Clipboard Helper	Maxi Refresher
Quick Translation	Easyview Reader view	PDF Toolbox	Epsilon Ad blocker	Craft Cursors
Alfablocker ad blocker	Zoom Plus	Base Image Downloader	Clickish fun cursors	Venus Adblock
Cursor-A custom cursor	Amazing Dark Mode	Maximum Color Changer for Youtube	Awesome Auto Refresh	Adblock Dragon
Readl Reader mode	Volume Frenzy	Image download center	Font Customizer	Easy Undo Closed Tabs
Screence screen recorder	OneCleaner	Repeat button	Leap Video Downloader	Tap Image Downloader
Qspeed Video Speed Controller	HyperVolume	Light picture-in-picture

根據發現報告的研究員表示，以上清單可能並非全部，用戶對其他不名上列的擴充插件也不能掉以輕心。

小心謹慎為上

要避免自己成為上述惡意擴充插件的受害者，不妨注意以下事項：

• 不要安裝太多瀏覽器擴充插件，越少越安全。
• 在安裝前，查看用戶的評價，雖然並不完全保證安全，但少數個案有助揭開惡意的真面目。
• 定期檢查已安裝的擴充插件，把已不需要的盡快刪除。
• 在所有裝置安裝可靠的防護

資料來源：Kaspersky Blog