瀏覽器擴充套件 比你想象得更危險

語言: CN / TW / HK

我們每個人都可能至少安裝過某種瀏覽器擴充套件程式:廣告攔截器、線上翻譯器、拼寫檢查器或其他東西。然而,很少有人停下來思考:它安全嗎?不幸的是,這些看似無害的迷你應用程式可能比你想象得更危險。下面我們將以最常見的惡意擴充套件系列為例,解釋安裝瀏覽器外掛後可能出現的問題。

什麼是擴充套件,它們有什麼作用?

讓我們從基本定義開始,找出問題的根源。

瀏覽器擴充套件是為您的瀏覽器新增功能的外掛。例如,他們可以遮蔽網頁上的廣告、做標註、檢查拼寫等等。對於流行的瀏覽器,有官方擴充套件商店可以幫助您選擇、比較和安裝想要的外掛。但也可以從非官方來源安裝擴充套件。

需要注意的是,要使擴充套件程式發揮作用,它需要獲得讀取和更改您在瀏覽器中檢視的網頁內容的許可權。如果沒有這種訪問許可權,它可能完全發揮不了作用。

以Google Chrome為例,擴充套件程式需要能夠讀取和更改您訪問的所有網站上的所有資料。這看起來格外值得警惕,對吧?然而,即便是官方商店也很少關注這一問題。

例如,在官方Chrome Web商店中,流行的谷歌翻譯擴充套件程式的隱私實踐部分宣告,它會收集有關位置、使用者活動和網站內容的資訊。但是,它需要訪問所有網站的所有資料才能工作,這一事實在使用者安裝擴充套件程式之前並不會透露給使用者。

【谷歌翻譯擴充套件程式請求獲得“讀取和更改所有網站的所有資料”的訪問許可權】

大多數使用者甚至可能不會閱讀此訊息,並且會自動單擊“新增擴充套件程式”以立即開始使用該外掛。所有這些都為網路犯罪分子以看似無害的擴充套件程式為幌子分發廣告軟體甚至惡意軟體創造了機會。

至於廣告軟體(adware)擴充套件,更改顯示內容的許可權允許它們在您訪問的網站上顯示廣告。在這種情況下,擴充套件程式的建立者可以通過點選跟蹤到的廣告商網站的附屬連結來牟利。為了獲得更有針對性的廣告內容,他們還可能會分析您的搜尋查詢和其他資料。

當涉及到惡意擴充套件時,情況會更糟。訪問所有網站內容的許可權將允許攻擊者竊取卡詳細資訊cookie和其他敏感資訊。讓我們看一些例子。

惡意擴充套件案例

Office檔案的流氓工具

近年來,網路犯罪分子一直在積極傳播惡意WebSearch廣告軟體擴充套件。該家族的成員通常會偽裝成Office檔案的工具,例如用於Word到PDF的轉換工具。

但是,在安裝之後,它們會將常規的瀏覽器主頁替換為一個迷你站點,該站點帶有搜尋欄和跟蹤至第三方資源(例如 AliExpress或 Farfetch)的附屬連結。

【下載WebSearch家族成員後的瀏覽器主頁】

安裝後,該擴充套件程式還將預設搜尋引擎更改為名為search.myway的內容。這允許網路犯罪分子儲存和分析使用者搜尋查詢,並根據他們的興趣為他們提供更相關的連結。

目前,Chrome官方商店已不再提供WebSearch擴充套件,但仍可從第三方資源下載。

難以擺脫的廣告軟體外掛

另一個常見的廣告軟體擴充套件家族DealPly的成員,通常會連同從可疑網站下載的盜版內容一起潛入使用者的計算機。它們的工作方式與WebSearch外掛大致相同。

DealPly擴充套件同樣將瀏覽器主頁替換為帶有指向流行數字平臺的附屬連結的迷你站點,並且就像惡意WebSearch擴充套件一樣,它們會替換預設搜尋引擎並分析使用者搜尋查詢以建立更多定製廣告。

【下載DealPly家族成員後的瀏覽器主頁】

更重要的是,DealPly家族的成員極難擺脫。即使使用者刪除了廣告軟體擴充套件程式,每次重啟瀏覽器時它也會重新安裝到他們的裝置上。

AddScript分發不需要的cookie

AddScript家族的擴充套件通常會偽裝成從社交網路或代理伺服器管理器下載音樂和視訊的工具。但是,除了此功能之外,它們還會用惡意程式碼感染受害者的裝置。然後,攻擊者便可以使用此程式碼在使用者不注意的情況下在後臺觀看視訊,並通過增加觀看次數來賺取收入。

網路犯罪分子的另一個收入來源是將cookie下載到受害者的裝置上。一般來說,cookies會在使用者訪問網站時儲存在使用者的裝置上,並可用作一種數字標記。在正常情況下,附屬網站會承諾將客戶帶到合法網站。為此,他們會通過有趣或有用的內容將使用者吸引到他們自己的網站上。然後,他們在使用者的計算機上儲存一個cookie,並通過連結將它們傳送到目標站點。使用此cookie,網站將瞭解新客戶的來源並向合作伙伴支付費用——有時用於支付重定向本身,有時用於任何購買分成,有時用於特定操作(例如註冊)。

AddScript操作人員使用惡意擴充套件來濫用此方案。他們沒有將真實的網站訪問者傳送給合作伙伴,而是將多個cookie下載到受感染的裝置上。這些cookie用作詐騙者合作伙伴計劃的標記,幫助AddScript運營商牟利。事實上,它們根本不會吸引任何新客戶,它們的“合作伙伴”活動包括用這些惡意擴充套件程式感染計算機。

FB Stealer—— cookie竊賊

另一個惡意擴充套件家族FB Stealer的工作方式與AddScript有所不同。該家族的成員不會將“擴充套件資訊(extras,擴充套件資訊提供附加資料)”下載到裝置上,而是會竊取重要的cookie。這是它的工作原理。

FB Stealer擴充套件與NullMixer木馬一起進入使用者的裝置,受害者通常在嘗試下載被黑客入侵的軟體安裝程式時獲取該木馬。安裝後,木馬會修改用於儲存Chrome瀏覽器設定的檔案,包括有關擴充套件的資訊。

啟用後,FB Stealer會偽裝成谷歌翻譯擴充套件,讓使用者放鬆警惕。該擴充套件程式看起來確實很有說服力,唯一缺點是瀏覽器會發出警告稱官方商店並不包含有關它的資訊。

【瀏覽器警告稱官方商店不包含有關該擴充套件的資訊 】

該家族的成員也會替換瀏覽器的預設搜尋引擎,但這並不是這些擴充套件最令人不快的地方。 FB Stealer的主要功能是從世界上最大的社交網路的使用者那裡竊取會話cookies。這些cookie可以讓您在每次訪問該站點時繞過登入——它們還允許攻擊者無需密碼即可進入。例如,以這種方式劫持一個帳戶後,攻擊者就可以向受害者的朋友和親戚傳送訊息要錢。

防護建議

瀏覽器擴充套件是有用的工具,但重要的是要謹慎對待它們,並意識到它們並不像人們想象的那麼無害。因此,我們建議採取以下安全措施:

·僅從官方來源下載擴充套件。請記住,這並非無懈可擊的安全保證——惡意擴充套件確實會時不時地滲透到官方商店。但此類平臺通常會更加關注使用者安全,並最終設法刪除惡意擴充套件;

· 不要安裝太多擴充套件程式並定期檢查列表。如果發現了不是自己安裝的東西,一定要提高警惕,及時處理;

· 使用可靠的安全解決方案。