6,000,000+ 已安装的 Chrome 扩展程序可以在用户的浏览器上执行远程命令
一起重大安全事件已被曝光,涉及超过 600 万次 Chrome 浏览器扩展程序的安装,这些扩展程序会秘密执行远程命令、跟踪用户活动并可能暴露敏感信息。
secure Annex 的 John Tuckner 已经确定了至少 35 个相关扩展,其中许多在 Chrome Web Store 中未列出,这使得它们对临时用户不可见,并且很难被安全团队发现。
当安全专业人员注意到未列出的 Chrome 扩展程序(未被搜索引擎编入索引或在 Web Store 搜索中可见的扩展程序)的异常活动时,调查开始了。
其中一个扩展程序“Fire Shield Extension Protection”声称可以保护用户免受有害扩展程序的侵害,但其本身被发现非常可疑。
尽管未列出,但它拥有超过 300,000 名用户,并请求广泛的权限,包括访问所有 Web 流量、cookie、浏览器选项卡和执行脚本的能力。
进一步分析表明,“Fire Shield Extension Protection”只是由表现出类似行为的 35 个扩展组成的网络之一。
这些扩展通常声称提供广告拦截、隐私保护或改进搜索结果等服务,但它们的实际代码很少或无法正常工作。
深度嵌入式监控功能
扩展的清单文件请求的权限远远超出了其规定功能所需的权限。他们可以:
- 访问并收集所访问的任何域的所有 Cookie。
- 监控和跟踪所有站点上的用户 Web 活动。
- 访问敏感的浏览器标头,包括“Authorization”和“Cookies”。
- 在浏览器上下文中执行从远程服务器检索的脚本。
- 无需用户交互即可打开和关闭浏览器选项卡。
至关重要的是,这些扩展具有远程配置功能。这允许他们的行为被来自外部服务器的命令改变,从而有效地将浏览器变成一个远程控制的监控工具。
扫描的扩展
这些扩展会定期向其命令服务器发送 “心跳” ping,并可能接收扩展其跟踪或数据收集的更新。
这些扩展中的代码被严重混淆,这使得分析师难以确定其功能的全部范围。
有些功能只有在收到来自远程服务器的特定配置后才会激活,这可能会在用户处于活动状态一段时间后触发。这种延迟激活有助于扩展在例行安全检查期间逃避检测。
调查人员还发现,一些扩展共享相同的代码模式和回调域,进一步将它们链接为协调作的一部分。
在某些情况下,这些扩展与可追溯到 2019 年的可疑公司名称或隐私政策相关联,这表明这是一个长期的活动。
这些未列出的扩展实现数百万次安装的方法尚不清楚。理论包括通过恶意广告分发、与其他不需要的软件捆绑或自动安装机制。
一些扩展程序甚至在 Chrome Web Store 中获得“精选”状态,这可能会错误地向用户保证其合法性。
用户应该做什么
安全专家敦促 Chrome 用户:
- 查看并删除任何权限过多或目的不明确的扩展程序。
- 请谨慎使用请求访问所有网站、Cookie 或浏览数据的扩展。
- 仅安装来自具有透明隐私实践的信誉良好的开发人员的扩展。
- 定期审核已安装的扩展并删除不再需要的扩展。
Google 已获悉这些扩展程序并正在进一步调查,但建议用户立即采取行动以保护他们的隐私和安全。
这一事件凸显了浏览器扩展带来的持续风险以及警惕扩展管理的必要性。