我们每个人都可能至少安装了某种浏览器扩展:广告拦截器、在线翻译器、拼写检查器或其他东西。然而,很少有人停下来思考:它安全吗?不幸的是,这些看似无害的迷你应用程序可能比您想象的更危险。下面我们将以最常见的一系列恶意扩展为例,对安装浏览器插件后可能出现的问题进行说明。什么是扩展,它们有什么作用?让我们从一个基本定义开始,找到问题的根源。浏览器扩展是为浏览器添加功能的插件。例如,他们可以屏蔽网页上的??广告、进行注释、检查拼写等。对于流行的浏览器,有官方扩展商店可以帮助您选择、比较和安装您想要的插件。但也可以从非官方来源安装扩展。请务必注意,要使扩展程序正常工作,它需要获得读取和更改您在浏览器中查看的网页内容的权限。如果没有此访问权限,它可能根本无法运行。对于谷歌浏览器,扩展程序需要能够读取和更改您访问的所有网站上的所有数据。这似乎是值得警惕的事情,对吧?不过,就连官方商店也很少关注这个问题。例如,官方Chrome网上商店中流行的Google翻译扩展的隐私实践部分声明它收集有关位置、用户活动和网站内容的信息。然而,它需要访问所有网站的所有数据才能工作这一事实在用户安装扩展程序之前不会向用户透露。[谷歌翻译扩展程序请求访问“读取和更改所有站点上的所有数据”]大多数用户可能甚至不会阅读此消息,并且会自动单击“添加扩展程序”以立即开始使用该插件。所有这些都为网络罪犯创造了机会,让他们可以在看似无害的扩展程序的幌子下分发广告软件甚至恶意软件。至于广告软件(adware)扩展,更改显示内容的权限允许它们在您访问的网站上显示广告。在这种情况下,扩展程序的创建者可以通过点击广告商网站的跟踪附属链接来赚钱。他们还可能分析您的搜索查询和其他数据以获得更有针对性的广告内容。当涉及到恶意扩展时,情况更糟。访问所有网站内容的权限将允许攻击者窃取卡详细信息cookie和其他敏感信息。让我们看一些例子。用于Office文件的恶意扩展案例流氓工具网络罪犯近年来一直在积极传播恶意WebSearch广告软件扩展。这个家族的成员经常伪装成Office文件的工具,例如Word到PDF的转换器。然而,在安装之后,他们将常规的浏览器主页替换为一个带有搜索栏和附属链接的迷你站点,以跟踪第三方资源,如AliExpress或Farfetch。【下载WebSearch家族成员后的浏览器主页】安装后,扩展程序还将默认搜索引擎更改为名为search.myway的东西。这允许网络罪犯保存和分析用户搜索查询,并根据他们的兴趣为他们提供更多相关链接。目前,Chrome官方商店已不再提供WebSearch扩展,但仍可从第三方来源下载。难以摆脱的广告软件插件广告软件扩展家族的另一个常见成员DealPly,经常会与从可疑站点下载的盗版内容一起潜入用户的计算机。它们的工作方式与WebSearch插件非常相似。DealPly扩展同样将浏览器主页替换为带有流行数字平台附属链接的迷你站点,并且就像恶意WebSearch扩展一样,它们替换默认搜索引擎并分析用户搜索查询以创建更多定制广告。【DealPly家族成员下载后的浏览器主页】更重要的是,DealPly家族成员极难摆脱。即使用户删除了广告软件扩展程序,每次重新启动浏览器时,它都会在他们的设备上重新安装。AddScript分发不需要的cookieAddScript系列的扩展程序通常伪装成从社交网络或代理服务器管理器下载音乐和视频的工具。但是,除了此功能外,它们还会用恶意代码感染受害者的设备。然后,攻击者可以使用此代码在用户不注意的情况下在后台观看视频,并通过增加观看次数来赚钱。网络罪犯的另一个收入来源是将cookie下载到受害者的设备上。通常,当用户访问网站时,cookie会存储在用户的设备上,用作一种数字令牌。在正常情况下,附属网站承诺将客户带到合法网站。为此,他们通过有趣或有用的内容将用户吸引到他们自己的网站。然后,他们会在用户的计算机上存储一个cookie,并通过链接将他们发送到目标站点。使用此cookie,网站将了解新客户的来源并向合作伙伴付款-有时是为了重定向本身,有时是为了购买的任何份额,有时是为了特定的操作(例如注册)。AddScript操作员滥用此方案进行恶意扩展。他们没有将真正的网站访问者发送给他们的合作伙伴,而是将多个cookie下载到受感染的设备上。这些cookie被用作骗子合作伙伴计划的标记,以帮助AddScript运营商赚钱。事实上,他们根本不会吸引任何新客户,他们的“伙伴”活动包括用这些恶意扩展程序感染计算机。FBStealer-CookieStealer另一个恶意扩展系列FBStealer的工作方式与AddScript不同。这个家族的成员窃取了重要的cookie,而不是向设备下载“提供额外数据的extras”。这是它的工作原理。FBStealer扩展程序与NullMixer特洛伊木马程序一起进入了用户的设备,受害者通常在尝试下载被黑客入侵的软件安装程序时遇到这种情况。安装后,木马会修改用于存储Chrome浏览器设置的文件,包括有关扩展程序的信息。激活后,FBStealer会伪装成Google翻译扩展程序,让用户措手不及。该扩展看起来确实令人信服,唯一的缺点是浏览器警告官方商店不包含有关它的信息。[浏览器警告官方商店不包含有关扩展程序的信息]该家族的成员还替换了浏览器的默认搜索引擎,但这还不是这些扩展程序最令人不快的地方。FBStealer的主要功能是从世界上最大的社交网络的用户那里窃取会话cookie。这些cookie允许您在每次访问该站点时绕过登录-它们还允许攻击者在没有密码的情况下进入。例如,通过这种方式劫持账户后,攻击者可以向受害人的亲友发送短信索要钱财。防御建议浏览器扩展是有用的工具,但重要的是要谨慎对待它们并意识到它们并不像人们想象的那样无害。因此,我们建议采取以下安全措施:仅从官方来源下载扩展程序。请记住,这不是无懈可击的安全保证——恶意扩展确实会不时渗入官方商店。但此类平台通常更注重用户安全,并最终尝试移除恶意扩展;不要安装太多扩展并定期检查列表。如果发现不是自己安装的东西,一定要提高警惕,及时处理;使用可靠的安全解决方案。本文翻译自:https://usa.kaspersky.com/blog/dangers-of-browser-extensions/27020/如有转载请注明出处。
