Awake 安全公司在周四发布的一份报告中指出,从 Google Chrome Web 应用商店下载近 3,300 万次的浏览器扩充功能,会暗中外泄高敏感度的用户资讯,这突显了 Google 松懈的安全措施,长久以来持续不断地将互联网使用者置于风险之中。
这些扩充功能套件(Google只有在私下收到通报之后才会进行删除)会主动窃取像是屏幕截图、装置剪贴簿内容、用来登录网站的浏览器 Cookie 档以及密码等击键内容等资料,Awake 安全公司研究人员指出。许多扩充功能套件都是模组化的,这意味一旦安装之后,它们就会透过可执行档自我更新,这在许多情况下是专门针对它们所运行操作系统的特定之举。相关细节可参考 Awake 的安全报告。
Chrome 事件突显网域不安全
该公司研究人员调查发现,111 个被判定是恶意程式的扩充功能套件,皆连结到许多透过以色列 GalComm 注册的恶意网域上。研究人员最终调查发现,超过 15,000 个透过 GalComm 注册的网域具有恶意或可疑行为。这些恶意网域使用了各种规避技术,以避免被安全产品标记为恶意网域。
Awake 分析了金融服务、石油和天然气、媒体和娱乐、健康照护健和制药、零售以及其他 3 种产业等 100 多个网络。该公司同时发现,这些恶意活动背后的发动者在所有这些领域里几乎都建立了持续性的恶意据点。攻击者能够使用 Google 以及向互联网名称与位址指配管理机构(Internet Corporation for Assigned Names and Numbers,ICANN)证认取得之域名的这件事情,以及能够轻松规避安全公司侦测的能力,莫不突显出高科技公司在保护网络安全方面的一再失败。
“对 Internet 及其基础设施的信任至关重要,”Awake 在其调查报告的摘要中指出:“对这类基础设施之关键元件(例如网域注册、浏览器等)的漏洞入侵,不仅动摇了信任的基础,同时也为组织和使用者带来了风险。该研究表明,3 个脆弱的网络关键领域正被用来恶意监控使用者。”
Chrome 应用商店污名远播
Awake 这次发表的并不是第一篇关于 Google 服务器上浏览器扩充功能套件被恶意用来攻击 Chrome 用户的研究报告。去年就有一篇关于 Chrome 扩充功能套件收集了 410 万名用户浏览历史纪录,并公开发表在一个需付费分析网站上的报导。该事件所外泄资料包括关于特斯拉(Tesla)、贝佐斯(Jeff Bezos)旗下太空公司“蓝色起源”(Blue Origin),以及其他数十家公司的专属机密资料。多年来,还发现了其他几十个恶意 Chrome 扩充功能套件,其中最近一个是发生在 2 月份。
Google 应用商店中不乏许多假冒提供文件阅读器与安全强化机制的恶意扩充功能套件。这些套件很少能提供他们所宣称的功能。有兴趣的读者不妨下载参考一下 Awake 所提供的恶意扩充套件列表。
Awake 表示,虽然 3,300 万次的安装量可能有点夸大,但该公司相信在这起事件中被感染的装置数量有可能接近这个该数字。因为这个数字是基于 5 月初 Chrome Web 应用商店中的扩充功能套件,因此它可能会遗漏掉先前可用以及后来被删除的扩充套件。该数字并未将 Chrome Web 应用商店以外通路所提供的扩充套件列入计算。此外,Awake 也在其官网上列出其所辨识的恶意网域清单。
尽管 Google 在将扩充功能发布到 Chrome Web 应用商店之前会进行扫描,并将未透过安全要求的扩充功能套件加以删除,但这个安全扫描过程经常失灵无效,进而造成数百万用户利益的损害。对于隐私或安全受到威胁的 Chrome 用户,Google 多半视而不见。
我们由此得到的教训是,任何浏览器用户都应尽可能地避免安装扩充功能套件,除非确定该套件真的安全有用才可以安装。如果想要安装某扩充套件,可以试着从知名开发人员那里选择,再不然至少选择有网站或社交媒体可供你参考的套件,别忘了阅读有关可疑行为报告的评论;除此之外,使用者也应该定期检查自己的扩充功能页面,看看是否有什么套件被通知删除或违反了浏览器制造商的服务条款,并定期在页面中,将一段时间没有使用或不再需要的扩充套件加以删除。
- Chrome extensions with 33 million downloads slurped sensitive user data
(首图来源:Awake 安全报告)
