111 個 Chrome 擴充套件會竊取使用者敏感資料,預估 3,300 萬台裝置受影響

作者 | 發布日期 2020 年 06 月 19 日 16:00 | 分類 app , Google , 網路 Telegram share ! follow us in feedly


Awake 安全公司在週四發布的一份報告中指出,從 Google Chrome Web 應用商店下載近 3,300 萬次的瀏覽器擴充功能,會暗中外洩高敏感度的用戶資訊,這突顯了 Google 鬆懈的安全措施,長久以來持續不斷地將網際網路使用者置於風險之中。 

這些擴充功能套件(Google只有在私下收到通報之後才會進行刪除)會主動竊取像是螢幕截圖、裝置剪貼簿內容、用來登錄網站的瀏覽器 Cookie 檔以及密碼等擊鍵內容等資料,Awake 安全公司研究人員指出。許多擴充功能套件都是模組化的,這意味一旦安裝之後,它們就會透過可執行檔自我更新,這在許多情況下是專門針對它們所運行作業系統的特定之舉。相關細節可參考 Awake 的安全報告

Chrome 事件突顯網域不安全

該公司研究人員調查發現,111 個被判定是惡意程式的擴充功能套件,皆連結到許多透過以色列 GalComm 註冊的惡意網域上。研究人員最終調查發現,超過 15,000 個透過 GalComm 註冊的網域具有惡意或可疑行為。這些惡意網域使用了各種規避技術,以避免被安全產品標記為惡意網域。

Awake 分析了金融服務、石油和天然氣、媒體和娛樂、健康照護健和製藥、零售以及其他 3 種產業等 100 多個網路。該公司同時發現,這些惡意活動背後的發動者在所有這些領域裡幾乎都建立了持續性的惡意據點。攻擊者能夠使用 Google 以及向網際網路名稱與位址指配管理機構(Internet Corporation for Assigned Names and Numbers,ICANN)證認取得之域名的這件事情,以及能夠輕鬆規避安全公司偵測的能力,莫不突顯出高科技公司在保護網路安全方面的一再失敗。

「對 Internet 及其基礎設施的信任至關重要,」Awake 在其調查報告的摘要中指出:「對這類基礎設施之關鍵元件(例如網域註冊、瀏覽器等)的漏洞入侵,不僅動搖了信任的基礎,同時也為組織和使用者帶來了風險。該研究表明,3 個脆弱的網路關鍵領域正被用來惡意監控使用者。」

Chrome 應用商店污名遠播

Awake 這次發表的並不是第一篇關於 Google 伺服器上瀏覽器擴充功能套件被惡意用來攻擊 Chrome 用戶的研究報告。去年就有一篇關於 Chrome 擴充功能套件收集了 410 萬名用戶瀏覽歷史紀錄,並公開發表在一個需付費分析網站上的報導。該事件所外洩資料包括關於特斯拉(Tesla)、貝佐斯(Jeff Bezos)旗下太空公司「藍色起源」(Blue Origin),以及其他數十家公司的專屬機密資料。多年來,還發現了其他幾十個惡意 Chrome 擴充功能套件,其中最近一個是發生在 2 月份。

Google 應用商店中不乏許多假冒提供文件閱讀器與安全強化機制的惡意擴充功能套件。這些套件很少能提供他們所宣稱的功能。有興趣的讀者不妨下載參考一下 Awake 所提供的惡意擴充套件列表

Awake 表示,雖然 3,300 萬次的安裝量可能有點誇大,但該公司相信在這起事件中被感染的裝置數量有可能接近這個該數字。因為這個數字是基於 5 月初 Chrome Web 應用商店中的擴充功能套件,因此它可能會遺漏掉先前可用以及後來被刪除的擴充套件。該數字並未將 Chrome Web 應用商店以外通路所提供的擴充套件列入計算。此外,Awake 也在其官網上列出其所辨識的惡意網域清單

儘管 Google 在將擴充功能發布到 Chrome Web 應用商店之前會進行掃描,並將未透過安全要求的擴充功能套件加以刪除,但這個安全掃描過程經常失靈無效,進而造成數百萬用戶利益的損害。對於隱私或安全受到威脅的 Chrome 用戶,Google 多半視而不見。

我們由此得到的教訓是,任何瀏覽器用戶都應盡可能地避免安裝擴充功能套件,除非確定該套件真的安全有用才可以安裝。如果想要安裝某擴充套件,可以試著從知名開發人員那裡選擇,再不然至少選擇有網站或社交媒體可供你參考的套件,別忘了閱讀有關可疑行為報告的評論;除此之外,使用者也應該定期檢查自己的擴充功能頁面,看看是否有什麼套件被通知刪除或違反了瀏覽器製造商的服務條款,並定期在頁面中,將一段時間沒有使用或不再需要的擴充套件加以刪除。

(首圖來源:Awake 安全報告