English
 
查看详细details
您当前所在位置:首页 奥航智讯 行业最新动态 查看详细
行业最新动态 会员企业动态 GDPR
数百万人受到恶意Google Chrome扩展程序间谍活动的影响
文章来源:奥航智讯  作者:SCA  发布时间:2020-07-09  浏览次数:667

Awake Security的安全研究人员发现了一个针对20亿谷歌Chrome浏览器用户的新的安全威胁。该公司发现了111个虚假的谷歌Chrome扩展,这些扩展在Chrome网上商店获得了超过3200万的下载。这些扩展连接到数千个与第三方共享用户敏感信息的恶意域名。


大多数有问题的间谍软件声称提供各种服务,比如提供在线安全或将文件从一种格式转换为另一种格式。这家发现Web商店漏洞的安全公司表示,这次活动是有史以来攻击Google Chrome Web Store规模最大的一次。



最大规模的Google Chrome扩展程序间谍软件活动


Awake联合创始人兼首席科学家Gary Golomb表示,这是迄今为止对该公司发起的同类行动中规模最大的一次。但是,安全专家和Google都无法识别chrome扩展间谍软件活动背后的实体,因为威胁行为者在Google Web Store上发布chrome扩展时提交了虚假的联系信息。


恶意Chrome扩展程序的发布者对其进行了设计,以避免被Google自动审核系统和用户的防病毒软件检测到。一些扩展程序安装了开源Chromium浏览器,而不是官方的Google Chrome浏览器,因此它们可以安装和运行官方浏览器不允许的其他扩展程序。


根据Awake Security的说法,这些扩展还可以获取用户屏幕的截屏快照,访问用户的剪贴板并收集表单输入(包括登录凭据)。


恶意扩展的目标是家庭网络用户。当家庭用户使用Google Chrome浏览器访问互联网时,间谍软件Chrome扩展程序将连接到由黑客操作的15000多个恶意域中,以传输用户的信息。


相反,当用户从公司网络访问Internet时,扩展不传输信息。他们也没有为企业网络用户链接恶意网站。


所有恶意域名都相互连接,属于一个位于以色列的小型注册商Galcomm。Awake Security表示,在Galcomm公司注册的域名中,有60%是恶意或可疑的,这表明他们参与了该事件。但是,Galcomm的所有者Moshe Fogel否认他的公司参与了Chrome扩展间谍软件活动。


Fogel反驳说,他的公司在防止此类犯罪方面一直与执法人员合作。Fogel声称发现中提到的25%的域不属于Galcomm或已被删除,并表示他的公司将对Awake Security采取行动。


互联网号码分配机构(Internet Assigned Numbers Authority 简称IANA )表示,已收到有关域名注册商的各种投诉,但均与当前的间谍软件活动或恶意软件分发无关。
 


Google的回应


当路透社联系谷歌时,谷歌拒绝透露间谍软件活动的范围以及为什么它没有独立检测到间谍软件。相反,该公司发表了一份声明说,它会定期进行扫描,以寻找使用类似技术、代码和行为的扩展。


代表谷歌公司发言的Scott Westover告诉路透社,每当公司收到网络商店扩展违反其政策的警告时,公司就会采取行动,并将这些事件作为培训材料来改进“我们的自动和人工分析”。发言人补充说,在收到研究人员的信息后,Google在过去一个月中删除了70多个恶意chrome扩展程序。


Google Web Store一直是网络犯罪分子有利可图的目标。在2018年,该公司发现每十个提交中就有一个是恶意的。该公司还承诺将加大人工审查的力度,以消除间谍软件和恶意软件。此外,互联网搜索巨头还限制从第三方网站安装Chrome扩展程序,以保护其用户免受未经验证的应用程序的侵害。


当前的间谍软件活动并不是第一个进入Google Chrome Web Store的活动。今年2月,贾米拉·卡亚(Jamila Kaya)与思科系统公司(Cisco Systems)合作,揭露了一个类似的窃取170万谷歌Chrome用户数据的威胁。他们的发现导致从网上商店中删除了500多个恶意扩展。Google坚持对间谍软件采取零容忍政策,会检查软件和Chrome扩展程序,以消除那些对用户体验产生负面影响的程序。


 


难以管理Chrome扩展程序


国家赞助者和独立威胁者已使用浏览器扩展来进行网络攻击。尽管恶意扩展针对的是家庭互联网用户,但在当前疫情中,当员工使用家庭互联网访问其公司的IT基础设施时,它们仍然给企业带来了相当大的风险。


Tripwire漏洞和暴露研究小组(VERT)的计算机安全研究人员Craig Young 表示:“浏览器扩展作为各种在线活动的传播渠道激增,对安全来说绝对是可怕的。Chrome通常在抵抗复杂攻击方面做得很好,但扩展功能可能会破坏这种安全性。”


Young补充道:“另一个问题是,恶意的开发人员经常会以合法的功能来解释权限请求,然后将其用于窃取数据或攻击用户。不幸的是,Chrome和其他浏览器提供的技术很少能在运行时监视扩展程序的行为,因此无法注意到扩展程序是否在与网站或用户数据进行交互。”


仅依靠Chrome Web Store的策略来减少扩展恶意软件是不现实的,Young建议用户在安装浏览器扩展时检查权限,以了解他们可能会访问哪些资源。


Young还建议开发人员在扩展读取或操纵浏览器内容时添加“非页内权限请求或视觉指示器”,为终端用户增加更多注意到和反对恶意活动的机会,从而进一步改善这种情况。


*本文出自SCA安全通信联盟,转载请注明出处。(SCA安全通信联盟原创文章对外开白,欢迎加微信MrYe9173751开白)



 
奥航智讯官方微信
联系我们 | CONTACT US
  • 公司地址:上海市浦东新区 周康路26号 周浦万达E栋1016室
  • 联系电话:021-51099961
  • 企业邮箱:contact@smart-alliance.com
  • W  E  B  :  www.smart-alliance.com
在线留言 | FEEDBACK
Copyright 2012-2024 SC Alliance, All Rights Reserved        沪ICP备14020833号-1        上海奥航智能科技有限公司