谷歌浏览器曝安全信息泄露，恶意软件可下载 3200 万个扩展项攻击用户

技术编辑：徐九丨发自 SegmentFault 思否

北京时间 6 月 18 日，来自加利福尼亚州桑尼维尔的威胁检测厂商 Awake Security 在媒体采访中表示，一款恶意软件可通过谷歌浏览器下载 3200 万个扩展程序来攻击用户，攻击的范围涉及电子邮件、工资单和其他敏感项。

迄今为止影响最广的恶意 Chrome 商店事件

根据下载量，Awake 联合创始人兼首席科学家 Gary Golomb 表示，这是迄今为止影响最广的恶意 Chrome 商店事件。

对此，Google 拒绝讨论与以前的活动相比，此次最新的间谍软件造成的影响范围，以及为什么过去承诺会更紧密地监督产品，但为什么并没有通过自行检测删除恶意扩展程序。

Google 发言人 Scott Westover 在采访中告诉媒体：“当我们收到网上商店中违反我们政策的扩展程序的警报时，我们将采取行动并将结合这些事件的经验，以改进我们的自动化和手动分析系统。”

据悉，上个月谷歌公司已从谷歌网上应用商店中删除 70 多个恶意加载项。目前尚不清楚谁在分发该恶意软件。Awake 表示，开发人员在向 Google 提交扩展程序时提供了虚假的联系信息。

浏览器扩展乱象

随着浏览器扩展安装数量的增加，随之潜在的风险也在增加。

很多用户觉得扩展程序都是安全的，但实际上，扩展程序可以读取设备上浏览器与后端服务器之间交换的所有数据，很多浏览器扩展有可能令用户处于加密劫持、勒索软件和其他恶意软件攻击风险之下。

去年，一项针对 12 万个 Chrome 扩展的调查显示，超过三分之一的谷歌 Chrome 扩展要求用户允许访问他们在任何网站上的所有数据。同一项调查还发现，Chrome 网上商店列出的 12 万个 Chrome 扩展中，大约 85% 没有列出隐私政策，这意味着没有具有法律约束力的文件来描述扩展开发者承诺如何处理用户数据。

其他的调查结果还包括，77% 的测试 Chrome 扩展没有列出支持站点，32% 的扩展使用了包含公开漏洞的第三方 JavaScript 库，9% 的扩展可以访问和读取 cookie 文件，其中一些用于身份验证操作。

据悉，在交易市场中恶意分子会从对维护扩展失去兴趣的开发人员那里购买扩展程序，并发起鱼叉式网络钓鱼攻击，劫持扩展开发人员的帐户，从而推送恶意代码。

由于这些扩展插件不仅被安装在个人设备上，也被安装在企业的员工设备上，因此它们可收集大量重要的企业信息，包括员工的工作情况、部分网页内容、API 密钥、私有原始代码、私有 LAN 架构、防火墙登录密码及经营内容等

---

由于浏览器扩展程序有权访问被用户浏览的所有网页，所以这些扩展程序可以执行几乎所有操作，如窃取用户的网上帐户密码等。因此，建议大家尽可能减少扩展应用的安装，并仅安装可靠来源的扩展应用，了解各扩展程序申请的权限。

对于一些企业用户来说，有些供应商提供企业版浏览器，里面包含了管理应用及扩展的策略引擎、数据安全及隐私功能，还有浏览体验，可以通过调整设置以增强隐私及安全性。