研究人員在Chrome Web Store上找到57個潛在危險的瀏覽器擴充插件,累計超過6百萬用戶,由於要求的權限與描述不符而引起注意,而且不會在商店搜索中出現,安裝需要直接連結到它們的商店。
擴充插件的危險
安裝瀏覽器擴充插件前應該三思,雖然能夠加快日常的使用(例如翻譯網站資訊或檢查併字),不過背後的成本可能是私隱和安全,為了有效地運作,擴充插件經常需要存取用戶瀏覽器的資料,即使Google Translate也要求獲得用戶瀏覽網站內的讀取和更改資料的權限,如此一來不但能監察用戶網上活動,也能更改網頁上的任何訊息,例如展示翻譯後的資訊而非原本的文字,而惡意的擴充插件在取得相同權限後,也能做出相同行為。加上大部份用戶都沒有察覺擴充插件的風險,儘管來來自不受信任來源的執行檔被視為潛在風險,但瀏覽器擴充插件卻廣泛被受信任,尤其從官方商店上下載。
太多不必要權限
在Chrome Web Store上找到的57個可疑擴充插件個案中,主要的惡意跡象是要求廣泛的權限,例如存取cookie(包括身份驗證),這讓攻擊者從受害者裝上盜竊cookie,藉此達到瀏覽某些網站時無需每次輸入密碼,使騙徒能夠登入受害者在社交網絡或網上商店上的個人帳號,要求的權限也令惡意擴充插件具備「有趣」的功能:
- 在Chrome上追蹤用戶的活動
- 更換預設搜索引擎和修改搜索結果
- 加入和執行用戶瀏覽的網頁上的腳本
- 遙距啟動對用戶活動的高階追蹤
展開調查
研究人員John Tuckner在檢查其中一個擴充插件Fire Shield Extension Protection的程式碼後,開始追蹤這些可疑插件,因為程式在官方商店上隱藏顯示而吸引他的興趣,這意味著搜索並不會在結果中出現,只能透過直接連結到Chrome Web Store的網頁。其實這種隱藏的方法並非新事物,大型平台容許開發者把程式對一般用戶隱藏,原因可能是私人公司軟件只供特定公司員工使用,又或者產品仍在開發階段。
不過以上理由對Fire Shield Extension Protection都不適用,它已經有超過30萬用戶,私人公司工具或者開發階段都不會擁有如此規模的用戶群,此外,插件功能不符合高度專門化商用方案的概況,簡介聲稱Fire Shield檢查用戶安裝的其他擴充插件要求的權限,並對不安全的插件發出警告。為完成這工作,它只需要使用chrome.amanagement API的權限,使它能取得其他已安裝插件的資料並加以管理,但Fire Shield想要更多更廣。
偽裝合法的工具
研究人員在分析Fire Shield Extension Protection時,發現線索找出其他35個可疑插件,從中找出的連結察覺到一個名為unknow[.]com的網域(似乎是「unknown」的錯字),而錯字的網域通常是危險的警號,騙徒經常用這技倆讓受害者信以為真。通過特別的工具,研究人員發現其餘35個擴充插件與相同可疑網域有關連,插件的名稱也有很多相同之處,進一步肯定它們之間的關連,而且它們都不約而同地要求廣泛的存取權限,簡介也與事實不符。
大部份可疑擴充插件都聲稱具備類似的功能,包括攔截廣告、改善搜索結果、保護用戶私隱等,可惜事實上很多都沒有相關編碼執行有關工作,部份擴充插件更來自同一家公司。在進一步研究後,Tuckner再找出22個可欵插件,部份公眾能夠插索到(不是隱藏)。
防範惡意擴充插件
所有證據都指向攻擊者透過隱藏惡意擴充插件,以逃避官方商店管理員的檢測,與此同時,這些擴充插件通常透過插索的廣告或惡意網站進行散播。研究人員沒有找到盜竊用戶密碼或cookie的證據,在詳細研究編碼後和一系列的實驗後,確定進階追蹤用戶活動並不會立即啟動,有時會在安裝後一段時間,甚至是從遙距伺服器發出啟動的指令。
根據編碼的性質、遙距控制的選項、重複的行為模式和內嵌功能,研究人員認為所有擴充插件屬於相同的間諜軟件或數據盜竊程式的家族,在此我們建議:
- 檢查所有裝置的可疑擴充插件(完整清單)
- 只下載有真確需要的擴充插件,並定期檢查瀏覽器內的清單,刪除任何沒有使用或可疑的插件。
- 在所有裝置安裝可靠的防護方案
資料來源:Kaspersky Blog
