本文已更新。最初发布于 2023 年 6 月 1 日。
一位独立安全研究人员在 Chrome 网上应用店中目前存在的 18 款 Chrome 扩展中发现了恶意代码。这些扩展的总用户数超过 5700 万。这进一步证明了 Chrome 扩展需要谨慎评估。
Chrome 扩展是构建在 Google Chrome 之上的应用程序,可让您为浏览器添加额外功能。这种可定制的功能可以执行各种任务,但一些流行的扩展可以自动填充您的密码,屏蔽广告,实现一键访问您的待办事项列表,或更改社交媒体网站的外观。不幸的是,由于 Chrome 扩展功能强大且可以很大程度上控制您的浏览体验,它们是黑客和其他恶意行为者的热门目标。
本月早些时候,独立安全研究员 Wladimir Palant 在一款名为 PDF Toolbox 的浏览器扩展中发现代码,允许该扩展向您访问的任何网站注入恶意 JavaScript 代码。该扩展声称是一款基础的 PDF 处理工具,可以执行文档转换为 PDF、合并两个 PDF 文件以及从打开的标签页下载 PDF 等操作。
正是最后一个功能使得 PDF Toolbox 容易被不法分子利用。Google 要求扩展开发者只使用必要的最低权限。为了能够下载尚未激活的标签页中的 PDF,PDF Toolbox 必须能够访问您当前打开的每个网页。没有这个功能,它就无法以几乎合法的方式访问您的浏览器。
虽然 PDF Toolbox 似乎可以执行其声称的所有 PDF 任务,但它还会从外部网站下载并运行一个 JavaScript 文件,该文件可能包含执行几乎任何操作的代码,包括捕获您在浏览器中输入的所有内容、将您重定向到假网站,以及控制您在网络上看到的内容。通过使恶意代码看起来像合法的 API 调用,进行混淆使其难以追踪,并延迟恶意调用 24 小时,PDF Toolbox 自 2022 年 1 月更新以来一直设法避免被 Google 从 Chrome 网上应用店中移除。(尽管 Palant 报告了其恶意代码,但在撰写本文时它仍然可用。)
Palant 最初发现 PDF Toolbox 中的恶意代码时,无法确认其具体作用。然而,昨天他又披露了 17 款使用相同技巧下载和运行 JavaScript 文件的浏览器扩展。其中包括 Autoskip for Youtube、Crystal Ad block、Brisk VPN、Clipboard Helper、Maxi Refresher、Quick Translation、Easyview Reader view、Zoom Plus、Base Image Downloader、Clickish fun cursors、Maximum Color Changer for Youtube、Readl Reader mode、Image download center、Font Customizer、Easy Undo Closed Tabs、OneCleaner 和 Repeat button。但很可能还有其他受感染的扩展。这些只是 Palant 在大约 1000 款扩展的样本中发现的。
除了发现更多受影响的扩展外,Palant 还能够确认恶意代码的作用(或至少是过去的作用)。这些扩展会将用户的 Google 搜索重定向到第三方搜索引擎,很可能是为了获得小额联盟佣金。通过感染数百万用户,开发者可以获得可观的利润。
不幸的是,代码注入就是代码注入。仅仅因为过去的恶意 JavaScript 相对无害地将 Google 搜索重定向到其他搜索引擎,并不意味着它今天仍然如此。“拥有向每个网站注入任意 JavaScript 代码的能力,可以做许多更危险的事情,” Palant 写道。
那么,这些危险的事情包括哪些呢?扩展程序可能会收集浏览器数据、在用户访问的每个网页上添加额外的广告,甚至记录在线银行凭证和信用卡号。在您的网络浏览器中不受控制地运行的恶意 JavaScript 可能会非常强大。
如果您在计算机上安装了受影响的扩展程序,应立即将其移除。最好也快速审核您安装的所有其他扩展,以确保您仍在实际使用它们,并且它们看起来都合法。如果不是,也应将其移除。
否则,请以此为戒,时刻警惕潜在的恶意软件。有关如何对抗恶意软件的更多提示,请参阅我们的从计算机中删除恶意软件的指南。
更新于 2023 年 6 月 2 日。 Google 发言人表示:“Chrome 网上应用店制定了相关的政策以确保用户安全,所有开发者都必须遵守。我们认真对待关于扩展程序的安全和隐私声明,当我们发现违反我们政策的扩展程序时,我们会采取适当的措施。这些被举报的扩展程序已被从 Chrome 网上应用店中移除。”
