瀏覽器擴(kuò)展 比你想象得更危險(xiǎn)
我們每個(gè)人都可能至少安裝過某種瀏覽器擴(kuò)展程序:廣告攔截器、在線翻譯器、拼寫檢查器或其他東西。然而,很少有人停下來思考:它安全嗎?不幸的是,這些看似無害的迷你應(yīng)用程序可能比你想象得更危險(xiǎn)。下面我們將以最常見的惡意擴(kuò)展系列為例,解釋安裝瀏覽器插件后可能出現(xiàn)的問題。
什么是擴(kuò)展,它們有什么作用?
讓我們從基本定義開始,找出問題的根源。
瀏覽器擴(kuò)展是為您的瀏覽器添加功能的插件。例如,他們可以屏蔽網(wǎng)頁上的廣告、做標(biāo)注、檢查拼寫等等。對(duì)于流行的瀏覽器,有官方擴(kuò)展商店可以幫助您選擇、比較和安裝想要的插件。但也可以從非官方來源安裝擴(kuò)展。
需要注意的是,要使擴(kuò)展程序發(fā)揮作用,它需要獲得讀取和更改您在瀏覽器中查看的網(wǎng)頁內(nèi)容的權(quán)限。如果沒有這種訪問權(quán)限,它可能完全發(fā)揮不了作用。
以Google Chrome為例,擴(kuò)展程序需要能夠讀取和更改您訪問的所有網(wǎng)站上的所有數(shù)據(jù)。這看起來格外值得警惕,對(duì)吧?然而,即便是官方商店也很少關(guān)注這一問題。
例如,在官方Chrome Web商店中,流行的谷歌翻譯擴(kuò)展程序的隱私實(shí)踐部分聲明,它會(huì)收集有關(guān)位置、用戶活動(dòng)和網(wǎng)站內(nèi)容的信息。但是,它需要訪問所有網(wǎng)站的所有數(shù)據(jù)才能工作,這一事實(shí)在用戶安裝擴(kuò)展程序之前并不會(huì)透露給用戶。
【谷歌翻譯擴(kuò)展程序請(qǐng)求獲得“讀取和更改所有網(wǎng)站的所有數(shù)據(jù)”的訪問權(quán)限】
大多數(shù)用戶甚至可能不會(huì)閱讀此消息,并且會(huì)自動(dòng)單擊“添加擴(kuò)展程序”以立即開始使用該插件。所有這些都為網(wǎng)絡(luò)犯罪分子以看似無害的擴(kuò)展程序?yàn)榛献臃职l(fā)廣告軟件甚至惡意軟件創(chuàng)造了機(jī)會(huì)。
至于廣告軟件(adware)擴(kuò)展,更改顯示內(nèi)容的權(quán)限允許它們?cè)谀L問的網(wǎng)站上顯示廣告。在這種情況下,擴(kuò)展程序的創(chuàng)建者可以通過點(diǎn)擊跟蹤到的廣告商網(wǎng)站的附屬鏈接來牟利。為了獲得更有針對(duì)性的廣告內(nèi)容,他們還可能會(huì)分析您的搜索查詢和其他數(shù)據(jù)。
當(dāng)涉及到惡意擴(kuò)展時(shí),情況會(huì)更糟。訪問所有網(wǎng)站內(nèi)容的權(quán)限將允許攻擊者竊取卡詳細(xì)信息cookie和其他敏感信息。讓我們看一些例子。
惡意擴(kuò)展案例
Office文件的流氓工具
近年來,網(wǎng)絡(luò)犯罪分子一直在積極傳播惡意WebSearch廣告軟件擴(kuò)展。該家族的成員通常會(huì)偽裝成Office文件的工具,例如用于Word到PDF的轉(zhuǎn)換工具。
但是,在安裝之后,它們會(huì)將常規(guī)的瀏覽器主頁替換為一個(gè)迷你站點(diǎn),該站點(diǎn)帶有搜索欄和跟蹤至第三方資源(例如 AliExpress或 Farfetch)的附屬鏈接。
【下載WebSearch家族成員后的瀏覽器主頁】
安裝后,該擴(kuò)展程序還將默認(rèn)搜索引擎更改為名為search.myway的內(nèi)容。這允許網(wǎng)絡(luò)犯罪分子保存和分析用戶搜索查詢,并根據(jù)他們的興趣為他們提供更相關(guān)的鏈接。
目前,Chrome官方商店已不再提供WebSearch擴(kuò)展,但仍可從第三方資源下載。
難以擺脫的廣告軟件插件
另一個(gè)常見的廣告軟件擴(kuò)展家族DealPly的成員,通常會(huì)連同從可疑網(wǎng)站下載的盜版內(nèi)容一起潛入用戶的計(jì)算機(jī)。它們的工作方式與WebSearch插件大致相同。
DealPly擴(kuò)展同樣將瀏覽器主頁替換為帶有指向流行數(shù)字平臺(tái)的附屬鏈接的迷你站點(diǎn),并且就像惡意WebSearch擴(kuò)展一樣,它們會(huì)替換默認(rèn)搜索引擎并分析用戶搜索查詢以創(chuàng)建更多定制廣告。
【下載DealPly家族成員后的瀏覽器主頁】
更重要的是,DealPly家族的成員極難擺脫。即使用戶刪除了廣告軟件擴(kuò)展程序,每次重啟瀏覽器時(shí)它也會(huì)重新安裝到他們的設(shè)備上。
AddScript分發(fā)不需要的cookie
AddScript家族的擴(kuò)展通常會(huì)偽裝成從社交網(wǎng)絡(luò)或代理服務(wù)器管理器下載音樂和視頻的工具。但是,除了此功能之外,它們還會(huì)用惡意代碼感染受害者的設(shè)備。然后,攻擊者便可以使用此代碼在用戶不注意的情況下在后臺(tái)觀看視頻,并通過增加觀看次數(shù)來賺取收入。
網(wǎng)絡(luò)犯罪分子的另一個(gè)收入來源是將cookie下載到受害者的設(shè)備上。一般來說,cookies會(huì)在用戶訪問網(wǎng)站時(shí)存儲(chǔ)在用戶的設(shè)備上,并可用作一種數(shù)字標(biāo)記。在正常情況下,附屬網(wǎng)站會(huì)承諾將客戶帶到合法網(wǎng)站。為此,他們會(huì)通過有趣或有用的內(nèi)容將用戶吸引到他們自己的網(wǎng)站上。然后,他們?cè)谟脩舻挠?jì)算機(jī)上存儲(chǔ)一個(gè)cookie,并通過鏈接將它們發(fā)送到目標(biāo)站點(diǎn)。使用此cookie,網(wǎng)站將了解新客戶的來源并向合作伙伴支付費(fèi)用——有時(shí)用于支付重定向本身,有時(shí)用于任何購買分成,有時(shí)用于特定操作(例如注冊(cè))。
AddScript操作人員使用惡意擴(kuò)展來濫用此方案。他們沒有將真實(shí)的網(wǎng)站訪問者發(fā)送給合作伙伴,而是將多個(gè)cookie下載到受感染的設(shè)備上。這些cookie用作詐騙者合作伙伴計(jì)劃的標(biāo)記,幫助AddScript運(yùn)營(yíng)商牟利。事實(shí)上,它們根本不會(huì)吸引任何新客戶,它們的“合作伙伴”活動(dòng)包括用這些惡意擴(kuò)展程序感染計(jì)算機(jī)。
FB Stealer—— cookie竊賊
另一個(gè)惡意擴(kuò)展家族FB Stealer的工作方式與AddScript有所不同。該家族的成員不會(huì)將“擴(kuò)展信息(extras,擴(kuò)展信息提供附加數(shù)據(jù))”下載到設(shè)備上,而是會(huì)竊取重要的cookie。這是它的工作原理。
FB Stealer擴(kuò)展與NullMixer木馬一起進(jìn)入用戶的設(shè)備,受害者通常在嘗試下載被黑客入侵的軟件安裝程序時(shí)獲取該木馬。安裝后,木馬會(huì)修改用于存儲(chǔ)Chrome瀏覽器設(shè)置的文件,包括有關(guān)擴(kuò)展的信息。
激活后,F(xiàn)B Stealer會(huì)偽裝成谷歌翻譯擴(kuò)展,讓用戶放松警惕。該擴(kuò)展程序看起來確實(shí)很有說服力,唯一缺點(diǎn)是瀏覽器會(huì)發(fā)出警告稱官方商店并不包含有關(guān)它的信息。
【瀏覽器警告稱官方商店不包含有關(guān)該擴(kuò)展的信息 】
該家族的成員也會(huì)替換瀏覽器的默認(rèn)搜索引擎,但這并不是這些擴(kuò)展最令人不快的地方。 FB Stealer的主要功能是從世界上最大的社交網(wǎng)絡(luò)的用戶那里竊取會(huì)話cookies。這些cookie可以讓您在每次訪問該站點(diǎn)時(shí)繞過登錄——它們還允許攻擊者無需密碼即可進(jìn)入。例如,以這種方式劫持一個(gè)帳戶后,攻擊者就可以向受害者的朋友和親戚發(fā)送消息要錢。
防護(hù)建議
瀏覽器擴(kuò)展是有用的工具,但重要的是要謹(jǐn)慎對(duì)待它們,并意識(shí)到它們并不像人們想象的那么無害。因此,我們建議采取以下安全措施:
- 僅從官方來源下載擴(kuò)展。請(qǐng)記住,這并非無懈可擊的安全保證——惡意擴(kuò)展確實(shí)會(huì)時(shí)不時(shí)地滲透到官方商店。但此類平臺(tái)通常會(huì)更加關(guān)注用戶安全,并最終設(shè)法刪除惡意擴(kuò)展;
- 不要安裝太多擴(kuò)展程序并定期檢查列表。如果發(fā)現(xiàn)了不是自己安裝的東西,一定要提高警惕,及時(shí)處理;
- 使用可靠的安全解決方案。
本文翻譯自:https://usa.kaspersky.com/blog/dangers-of-browser-extensions/27020/如若轉(zhuǎn)載,請(qǐng)注明原文地址。