一家安全公司周四在一份报告中称,浏览器扩展从谷歌的Chrome网络商店下载了近3300万次,秘密下载了高度敏感的用户信息,这凸显了松懈的安全措施继续给互联网用户带来风险。
安全公司Awake的研究人员告诉我,谷歌只有在得到私下通知后才会删除这些扩展,它们会主动窃取截屏、设备剪贴板中的内容、用于登录网站的浏览器cookie以及密码等击键信息。许多扩展都是模块化的,这意味着一旦安装,它们就会使用可执行文件进行自我更新,而这些文件在很多情况下都是特定于它们所运行的操作系统的。Awake在本报告中提供了更多细节。
公司研究人员发现,所有111个扩展被识别为恶意连接到通过以色列GalComm公司注册的互联网域。研究人员最终发现,通过GalComm注册的用户中有超过1.5万人存在恶意或可疑行为。这些恶意域名使用了各种逃避技术,以避免被安全产品贴上恶意标签。
Awake分析了金融服务、石油和天然气、媒体和娱乐、沐鸣开户测速医疗保健和制药、零售和其他三个行业的100多个网络。“觉醒”发现,这些活动背后的行动者在几乎所有这些领域都建立了持久的立足点。攻击者使用谷歌和互联网名称和号码分配公司认证的域名注册,以及逃避安全公司检测的能力,凸显了科技公司在保护互联网安全方面经常失败。
“对互联网及其基础设施的信任是至关重要的,”Awake在一份调查总结中写道。利用这个基础设施的关键组件——域名注册、浏览器等等——动摇了信任的基础,对组织和消费者都是一种风险。研究显示了互联网的三个关键脆弱领域正被人们被动、恶意地利用来监视用户。”
感觉就像第一次…不!
关于托管在谷歌服务器上的浏览器扩展被恶意使用来攻击Chrome用户,Awake的发现并不是第一个报告。在去年7月发布的一篇独家文章中,Ars报道了大部分由谷歌托管的extensiona,该网站收集了410万用户的浏览历史,并在一个收费分析网站上公开发布。这些数据包括特斯拉(Tesla)、杰夫·贝佐斯(Jeff Bezos)的蓝色起源(Blue Origin)以及其他数十家公司的专有数据。多年来,已经发现了几十个恶意Chrome扩展,最近的一个发生在2月份。
谷歌官员周四在一份声明中写道:
我们感谢研究社区的工作,当我们收到网络商店扩展违反我们政策的警告时,我们会采取行动,并将这些事件作为培训材料来改进我们的自动和手动分析。我们定期进行扫描,以查找使用类似技术、代码和行为的扩展,并在这些扩展违反我们的策略时删除它们。
所有的扩展都要经过一个自动化的评审过程,并且大多数也要经过我们团队的手工评审。基于特定扩展的各种信号,沐鸣开户测速我们结合使用自动和手动检查。你可以在这里查看我们完整的程序政策。
Chrome网络商店使用了很多方法来检测和执行违反策略的行为,包括手动和自动的主动和响应审查。强制措施包括从Chrome网络商店删除或终止开发者帐户。除了禁用违反我们策略的开发人员的帐户,我们还标记某些恶意模式,我们检测,以防止扩展返回。此外,我们还宣布了将进一步加强Chrome扩展隐私的技术变化,以及提高用户隐私的新政策。
GalComm公司的官员没有回复寻求对这篇文章发表评论的电子邮件。
作为文档读取器的扩展,如下所示:
其他人假装提供了安全增强:
他们中很少有人能提供他们所宣称的能力。在这个Excel电子表格中可以找到完整的扩展列表。(那些不相信打开Excel电子表格的人可以把它上传到谷歌文档并在那里阅读。另一种方法是读取上面链接的报告中的列表,但是它只列出扩展ID而不是名称。)
虽然3300万的安装可能被人为下载夸大了,沐鸣开户测速但Awake表示,它相信在这次活动中被感染的设备数量可能接近这个数字。因为这个数字是基于五月初Chrome网上商店里的扩展,所以很有可能忽略了那些以前可以使用的扩展和后来被删除的扩展。这个数字还不包括Chrome网络商店以外的渠道提供的扩展。
清醒识别的恶意域在这里。
虽然谷歌在将扩展名发布到Chrome网络商店之前会扫描扩展名,并在得知扩展名失败后删除扩展名,但这个过程经常失败,往往会损害数百万用户的利益。对于隐私或安全受到威胁的Chrome用户,谷歌通常不会给予太多关注。
其结果是,任何浏览器的用户都应该尽量少安装扩展,并且只有在它们提供了真正的价值时才安装。当你安装一个软件时,试着从一个已知的开发者或者至少一个有网站或者社交媒体的开发者那里选择一个软件。不要忘记阅读可疑行为报告的评论。
人们还应该定期检查他们的扩展页面,看看是否有通知被删除或违反了浏览器制造商的服务条款。在那里,删除任何一段时间没有使用或不再需要的扩展。