瀏覽器擴展:比你想象得更危險
我們每個人都可能或多或少地安裝過各種瀏覽器擴展程序:廣告攔截器、在線翻譯器、拼寫檢查器、反指紋追蹤程序或其他東西。然而,很少有人停下來思考:它安全嗎?不幸的是,這些看似無害的迷你應用程序可能比你想象得更危險。下面我們將以最常見的惡意擴展系列為例,揭秘瀏覽器擴展程序的隱藏威脅。
瀏覽器擴展及其作用
瀏覽器擴展是為您的瀏覽器添加功能的插件。例如,他們可以屏蔽網頁上的廣告、做標注、檢查拼寫等等。需要注意的是,要使擴展程序發揮作用,它需要獲得讀取和更改您在瀏覽器中查看的網頁內容的權限。如果沒有這種訪問權限,它可能完全發揮不了作用。
例如,在官方Chrome Web商店中,流行的谷歌翻譯擴展程序的隱私實踐部分聲明,它會收集有關位置、用戶活動和網站內容的信息。但是,它需要訪問所有網站的所有數據才能工作,這一事實在用戶安裝擴展程序之前并不會透露給用戶。
【谷歌翻譯擴展程序請求獲得“讀取和更改所有網站的所有數據”的訪問權限】
大多數用戶甚至可能不會閱讀此消息,并且會自動單擊“添加擴展程序”以立即開始使用該插件。所有這些都為網絡犯罪分子以看似無害的擴展程序為幌子分發廣告軟件甚至惡意軟件創造了機會。
至于廣告軟件(adware)擴展,更改顯示內容的權限允許它們在您訪問的網站上顯示廣告。在這種情況下,擴展程序的創建者可以通過點擊跟蹤到的廣告商網站的附屬鏈接來牟利。為了獲得更有針對性的廣告內容,他們還可能會分析您的搜索查詢和其他數據。
當涉及到惡意擴展時,情況會更糟。訪問所有網站內容的權限將允許竊取卡詳細信息cookie和其他敏感信息。讓我們看一些例子。
瀏覽器擴展威脅示例
Office文件的流氓工具
近年來,網絡犯罪分子一直在積極傳播惡意WebSearch廣告軟件擴展。該家族的成員通常會偽裝成Office文件的工具,例如用于Word到PDF的轉換工具。
但是,在安裝之后,它們會將常規的瀏覽器主頁替換為一個帶有搜索欄和指向第三方資源(例如 AliExpress或 Farfetch)的附屬鏈接的迷你站點。
【下載WebSearch家族成員后的瀏覽器主頁】
安裝后,該擴展程序還將默認搜索引擎更改為名為search.myway的內容。這允許網絡犯罪分子保存和分析用戶搜索查詢,并根據他們的興趣為他們提供更相關的鏈接。
目前,Chrome官方商店已不再提供WebSearch擴展,但仍可從第三方資源下載。
難以擺脫的廣告軟件插件
另一個常見的廣告軟件擴展家族DealPly的成員,通常會連同從可疑網站下載的盜版內容一起潛入用戶的計算機。它們的工作方式與WebSearch插件大致相同。
DealPly擴展同樣將瀏覽器主頁替換為帶有指向流行數字平臺的附屬鏈接的迷你站點,并且就像惡意WebSearch擴展一樣,它們會替換默認搜索引擎并分析用戶搜索查詢以創建更多定制廣告。
【下載DealPly家族成員后的瀏覽器主頁】
更重要的是,DealPly家族的成員極難擺脫。即便用戶刪除了廣告軟件擴展程序,每次重啟瀏覽器時它還是會重新安裝到他們的設備上。
AddScript分發不需要的cookie
AddScript家族的擴展通常會偽裝成從社交網絡或代理服務器管理器下載音樂和視頻的工具。但是,除了此功能之外,它們還會用惡意代碼感染受害者的設備。然后,攻擊者就會使用此代碼在用戶不注意的情況下在后臺觀看視頻,并通過增加觀看次數來賺取收益。
網絡犯罪分子的另一個收入來源是將cookie下載到受害者的設備上。一般來說,cookies會在用戶訪問網站時存儲在用戶的設備上,并可用作一種數字標記。在正常情況下,附屬網站會承諾將客戶帶到合法網站。為此,他們會通過有趣或有用的內容將用戶吸引到他們自己的網站上。然后,他們在用戶的計算機上存儲一個cookie,并通過鏈接將它們發送到目標站點。使用此cookie,網站將了解新客戶的來源并向合作伙伴支付費用——有時用于支付重定向本身,有時用于任何購買分成,有時用于特定操作(例如注冊)。
AddScript操作人員使用惡意擴展來濫用此方案。他們沒有將真實的網站訪問者發送給合作伙伴,而是將多個cookie下載到受感染的設備上。這些cookie用作詐騙者合作伙伴計劃的標記,幫助AddScript運營商牟利。事實上,它們根本不會吸引任何新客戶,它們的“合作伙伴”活動包括用這些惡意擴展程序感染計算機。
FB Stealer——cookie竊賊
另一個惡意擴展家族FB Stealer的工作方式與AddScript有所不同。該家族的成員不會將“擴展信息(extras,擴展信息提供附加數據)”下載到設備上,而是會竊取重要的cookie。這是它的工作原理。
FB Stealer擴展與NullMixer木馬一起進入用戶的設備,受害者通常在嘗試下載被黑客入侵的軟件安裝程序時獲取該木馬。安裝后,木馬會修改用于存儲Chrome瀏覽器設置的文件,包括有關擴展的信息。
激活后,FB Stealer會偽裝成谷歌翻譯擴展,讓用戶放松警惕。該擴展程序看起來確實很有說服力,唯一缺點是瀏覽器會發出警告稱官方商店并不包含有關它的信息。
【瀏覽器警告稱官方商店不包含有關該擴展的信息 】
該家族的成員也會替換瀏覽器的默認搜索引擎,但這并不是這些擴展最令人不快的地方。 FB Stealer的主要功能是從世界上最大的社交網絡的用戶那里竊取會話cookies。這些cookie可以讓您在每次訪問該站點時繞過登錄——它們還允許攻擊者無需即可進入。例如,以這種方式劫持一個帳戶后,攻擊者就可以向受害者的朋友和親戚發送消息要錢。
防護建議
瀏覽器擴展是大有可為的工具,不能因噎廢食,但重要的是要謹慎對待它們,并意識到它們并不像人們想象的那么無害。因此,我們建議采取以下安全措施:
僅從官方來源下載擴展。請記住,這并非無懈可擊的安全保證——惡意擴展確實會時不時地滲透到官方商店。但此類平臺通常會更加關注用戶安全,并最終設法刪除惡意擴展;
不要安裝太多擴展程序并定期檢查列表。如果發現了不是自己安裝的東西,一定要提高警惕,及時處理;
使用可靠的安全解決方案。
原文鏈接:https://usa.kaspersky.com/blog/dangers-of-browser-extensions/27020/
