根据科技媒体《The Register》于7月8日的报道,安全团队近期披露一项大规模的浏览器扩展插件劫持行动,已影响超过230万名全球用户。这些恶意插件伪装成功能正常、甚至获选为“精选”的Chrome与Edge扩展功能,实际上却暗藏后门、会话劫持与用户关注等危害。
其中一款名为Geco的扩展插件表面上是一个提供色彩采样功能的工具,在Chrome线上应用应用商店(Chrome Web Store)中,拥有超过10万次下载与4.2颗星评价,评论数超过800条,甚至被标记为“精选扩展”。
在Microsoft Edge的扩展商店中也有类似情况,该扩展同样有上千则正面评论,看起来完全可信。然而安全研究人员指出,这个扩展实际上会在用户不知情的情况下:
偷偷劫持浏览器会话
关注上网活动
植入后门程序,便于未来执行更多恶意操作
Koi Security安全分析师Idan Dardikman表示:“这不是那种周末赶工、粗糙拙劣的诈骗插件,而是精心包装过的特洛伊木马。”
令人忧心的是,Geco只是冰山一角。Koi Security团队在调查中,进一步在Chrome Web Store中发现另外18款有类似行为的扩展插件。
这些插件在最初安装时通常会正常运行,表现得像真正的工具型扩展,可能潜伏多年无害。但研究人员发现,一旦开发者在后续版本更新中插入恶意程序代码,这些更新会通过Chrome与Edge的“静默自动更新机制”无声推送给用户,用户根本无从发现。
Dardikman表示:“这种更新方式让大多数受害者连点都没点过任何东西,就被感染了。”
目前这些有问题的扩展程序页面已经遭下架,显示为:“此商品无法购买或下载”。不过外界仍关注,这类潜伏式恶意扩展是否仍藏有更多未被披露的变种。
不过他们还是列出了有问的这些扩展程序的IDs,如果你有以下的扩展程序建议立马移除。
Extension IDs
Chrome:
Edge:
对一般用户来说,即使是来自官方“精选”的扩展功能,也不再等于绝对安全。建议用户:
定期检查浏览器已安装的扩展工具
只安装信誉良好、长期维护的扩展程序
留意扩展是否要求不合理的权限
遇到功能异常或安全警告时立刻停用并回应
