McAfee 的威脅分析師發現了五個可以竊取用戶網絡活動信息的 Google Chrome 擴展程序。在被 Google 從 Chrome Web Store 移除之前，其總下載量已超 140 萬次。

這些擴展提供了各種功能，例如使用戶能夠一起觀看 Netflix 節目、追蹤一些網站優惠券以及進行頁面截圖。但除了提供上述功能外，它們還會追蹤用戶的網絡活動，用戶的每一個網站訪問信息都會被發送到擴展程序創建者擁有的服務器上。此舉是為了在被訪問的電子商務網站中插入代碼，修改了網站的 cookie，以便擴展程序作者可以收到任何用戶購買物品的附屬付款。

而擴展程序的用戶并不知道此功能的存在，也不知道被訪問的每個網站被發送到擴展程序作者的服務器上的隱私風險。所發現的五個惡意擴展具體如下：

• Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800,000 次下載
• Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300,000 次下載
• Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200,000 次下載
• FlipShope – Price Tracker Extension (adikhbfjdbjkhelbdnffogkobkekkkej) – 80,000 次下載
• AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20,000 次下載

根據介紹，所有 5 個擴展都執行了類似的行為。Web 應用程序清單（“manifest.json” 文件）規定了擴展程序在系統中的行為方式，加載了一個多功能腳本（B0.js），將瀏覽數據發送到攻擊者控制的域（"langhort [.com"）。

每次用戶訪問新 URL 時，數據都會通過 POST 請求傳遞。到達欺詐者的信息包括 base64 格式的 URL、用戶 ID、設備位置（國家、城市、郵政編碼）和一個 encoded referral URL。

如果被訪問的網站與擴展作者有活動關系的網站列表中的任何條目相匹配，則服務器會使用兩種可能的功能之一來響應 B0.js。

• “Result ['c'] – passf_url”，命令腳本將提供的 URL（引用鏈接）作為 iframe 插入訪問的網站。
• “Result ['e'] setCookie”，命令 B0.js 修改 cookie，或者如果擴展已被授予執行此操作的相關權限，則用所提供的 cookie 替換它。

值得注意的是，為了逃避檢測、分析并迷惑研究人員或警惕的用戶，一些擴展程序在執行任何惡意活動之前包含一個時間檢查，會將其安裝時間延遲 15 天。

? ?