瀏覽器擴充功能:比你想像的更危險
我們以最常見的惡意擴充系列為例,解釋安裝瀏覽器擴充功能後可能出現的問題。
我們每個人都可能至少安裝過某種瀏覽器擴充程序:廣告攔截器、在線翻譯器、拼寫檢查器或其他東西。然而,我們中很少有人停下來思考:它安全嗎?不幸的是,這些看似無害的迷你應用程序可能比乍看之下更危險。讓我們看看可能出了什麼問題。為此,我們將使用專家最近關於最常見的惡意瀏覽器擴充系列的報告中的數據。
什麼是擴充功能,它們有什麼作用?
讓我們從基本定義開始,找出問題的根源。瀏覽器擴充是為您的瀏覽器添加功能的插件。例如,他們可以屏蔽網頁上的廣告、做筆記、檢查拼寫等等。對於流行的瀏覽器,有官方擴充商店可以幫助您選擇、比較和安裝您想要的插件。但也可以從非官方來源安裝擴充。
需要注意的是,要使擴充程序發揮作用,它需要獲得讀取和更改您在瀏覽器中查看的網頁內容的權限。如果沒有這種訪問權限,它可能完全沒用。
對於 Google Chrome,擴充程序需要能夠讀取和更改您訪問的所有網站上的所有數據。看起來很重要,對吧?然而,即使是官方商店也很少關注它。
例如,在官方 Chrome 網上應用店中,流行的谷歌翻譯擴充程序的隱私實踐部分聲明它收集有關位置、用戶活動和網站內容的訊息。但是,它需要訪問所有網站的所有數據才能正常工作,這一事實在用戶安裝擴充程序之前不會透露給用戶。
谷歌翻譯擴充程序請求您訪問“讀取和更改所有網站的所有數據”的權限
許多(如果不是大多數)用戶甚至可能不會閱讀此消息,並且會自動單擊添加擴充程序以立即開始使用該插件。所有這些都為網路犯罪分子以看似無害的擴充程序為幌子分發廣告軟體甚至惡意軟體創造了機會。
至於廣告軟體擴充,更改顯示內容的權利允許它們在您訪問的網站上顯示廣告。在這種情況下,擴充程序的創建者通過點擊跟踪到的廣告商網站的附屬鏈接來賺錢。為了獲得更有針對性的廣告內容,他們還可能會分析您的搜索查詢和其他數據。
當涉及到惡意擴充時,情況會更糟。訪問所有訪問網站的內容允許攻擊者竊取卡詳細訊息、cookie 和其他敏感訊息。讓我們看一些例子。
Office 文件的流氓工具
近年來,網路犯罪分子一直在積極傳播惡意 WebSearch 廣告軟體擴充。該家族的成員通常偽裝成 Office 文件的工具,例如用於 Word 到 PDF 的轉換。
他們中的大多數甚至執行他們規定的功能。但是,在安裝之後,他們將通常的瀏覽器主頁替換為帶有搜索欄的迷你站點,並跟踪到第三方資源的附屬鏈接,例如 AliExpress 或 Farfetch。
下載 WebSearch 系列的擴充之一後的瀏覽器主頁
安裝後,該擴充程序還將默認搜索引擎更改為名為 search.myway 的內容。這允許網路犯罪分子保存和分析用戶搜索查詢,並根據他們的興趣為他們提供更相關的鏈接。
目前,Chrome 官方商店已不再提供 WebSearch 擴充,但仍可從第三方資源下載。
不會離開你的廣告軟體插件
另一個常見的廣告軟體擴充系列 DealPly 的成員通常會與從可疑站點下載的盜版內容一起潛入人們的計算機。它們的工作方式與 WebSearch 插件大致相同。
DealPly 擴充同樣將瀏覽器主頁替換為帶有指向流行數字平台的附屬鏈接的迷你站點,並且就像惡意 WebSearch 擴充一樣,它們替換默認搜索引擎並分析用戶搜索查詢以創建更多定制廣告。
下載 DealPly 系列的擴充之一後的瀏覽器主頁
更重要的是,DealPly 家族的成員極難擺脫。即使用戶刪除了廣告軟體擴充程序,每次打開瀏覽器時它也會重新安裝在他們的設備上。
AddScript 分發不需要的 cookie
AddScript 系列的擴充通常偽裝成從社交網路或代理服務器管理器下載音樂和視頻的工具。但是,除了此功能之外,它們還會用惡意代碼感染受害者的設備。然後,攻擊者使用此代碼在用戶不注意的情況下在後台觀看視頻,並通過增加觀看次數來賺取收入。
網路犯罪分子的另一個收入來源是將 cookie 下載到受害者的設備上。一般而言,cookies 會在用戶訪問網站時存儲在用戶的設備上,並可用作一種數字標記。在正常情況下,附屬網站承諾將客戶帶到合法網站。為此,他們將用戶吸引到他們自己的網站,在正常情況下,這也是通過有趣或有用的內容來完成的。然後,他們將 cookie 存儲在用戶的計算機上,並通過鏈接將它們發送到目標站點。使用此 cookie,網站了解新客戶的來源並向合作夥伴支付費用——有時用於重定向本身,有時用於任何購買的百分比,有時用於特定操作,例如註冊。
AddScript 操作員使用惡意擴充來濫用此方案。他們沒有將真實的網站訪問者發送給合作夥伴,而是將多個 cookie 下載到受感染的設備上。這些 cookie 充當詐騙者合作夥伴計劃的標記,並且 AddScript 操作員收取費用。事實上,它們根本不會吸引任何新客戶,它們的“合作夥伴”活動包括用這些惡意擴充程序感染計算機。
FB Stealer — 餅乾竊賊
另一個惡意擴充系列 FB Stealer 的工作方式不同。與 AddScript 不同,該家族的成員不會將“附加”下載到設備,而是竊取重要的 cookie。這是它的工作原理。
FB Stealer 擴充與 NullMixer 木馬一起進入用戶的設備,受害者通常在嘗試下載被黑客入侵的軟體安裝程序時獲取該木馬。安裝後,木馬會修改用於存儲 Chrome 瀏覽器設置的文件,包括有關擴充的訊息。
然後,啟動後,FB Stealer 偽裝成谷歌翻譯擴充,讓用戶放鬆警惕。該擴充程序看起來確實很有說服力,攻擊者的唯一缺點是瀏覽器警告官方商店不包含有關它的訊息。
瀏覽器警告官方商店不包含有關擴充的訊息
這個家族的成員也替換了瀏覽器的默認搜索引擎,但這並不是這些擴充最令人不快的地方。FB Stealer 的主要功能是從世界上最大的社交網路的用戶那裡竊取會話 cookie,因此得名。這些是相同的 cookie,可讓您在每次訪問該站點時繞過登錄——它們還允許攻擊者無需密碼即可進入。以這種方式劫持帳戶後,他們可以例如向受害者的朋友和親戚發消息要錢。
如何保持安全
瀏覽器擴充是有用的工具,但重要的是要謹慎對待它們,並意識到它們並不像人們想像的那樣無害。因此,我們建議採取以下安全措施:
- 僅從官方來源下載擴充。請記住,這不是無懈可擊的安全保證——惡意擴充確實會時不時地滲透到官方商店。但此類平台通常關心用戶安全,並最終設法刪除惡意擴充。
- 不要安裝太多擴充並定期檢查列表。如果你看到不是你自己安裝的東西,那就是一個亮紅旗。
- 使用可靠的安全解決方案。
