ChromeSync是一种浏览器功能,旨在在用户使用Google帐户登录时自动同步书签、历史记录、密码和其他设置。安全顾问BojanZdrnja最近发现GoogleChrome同步功能可能被滥用,使用恶意制作的Chrome浏览器扩展程序从受影响的计算机收集信息并将窃取的数据传输到攻击者的服务器。绕过ChromeWebStore安全检查虽然Chrome的恶意扩展程序数不胜数,谷歌每年都会对ChromeWebStore进行审核,并将恶意扩展程序从商店中移除,但这次发现的恶意扩展程序因其部署方式而显得特别。攻击者的恶意扩展伪装成适用于Windows的ForcepointEndpointChrome扩展,并在启用开发者模式后直接从Chrome安装(绕过ChromeWebStore安装通道)。安装后,该扩展程序会删除一个后台脚本,该脚本旨在检查Chrome存储中的oauth_token密钥,然后自动将其同步到用户的GoogleCloudStorage。要访问同步的敏感数据,攻击者只需在另一个运行Chrome浏览器的系统上登录同一个Google帐户(现在不允许第三方基于Chromium的浏览器使用私有GoogleChromeSyncAPI)。这将允许攻击者通过滥用谷歌的基础设施与受害者的Chrome浏览器进行通信。尽管谷歌对数据大小和请求数量有一些限制,但这实际上非常适合C&C命令(通常是少量数据)或窃取较小但敏感的数据(例如身份验证令牌)。该扩展将其攻击重点放在操纵Web应用程序数据上,而不是试图将其恶意活动扩展到底层Chrome系统。对于这种行为,安全顾问BojanZdrnja解释说:“虽然他们想进一步扩展访问权限,但实际上他们只是将恶意扩展的活动限制在与Web应用程序相关的活动中。因为现在几乎所有的东西都可以通过Web应用程序管理来访问,无论是内部CRM、文档管理系统、访问权限管理系统还是其他系统。这也可以解释为什么他们只开发恶意Chrome扩展程序而不开发任何其他形式的恶意软件。“对于受到影响的用户,防止恶意扩展程序通过网络泄露数据也会阻止谷歌的服务器通信(例如client4.google.com)用于各种合法目的,因此这不是防御类似攻击的正确方法。.为了防止攻击者滥用GoogleChrome的SyncAPI从企业环境中收集和泄露数据,建议使用组策略创建一个允许的Chrome扩展列表,并阻止所有其他没有被检查的程序。这篇文章是转自OSCHINA文章标题:恶意扩展程序滥用ChromeSync窃取用户数据
