下载量超百万的恶意 Chrome 扩展,可追踪用户网络行为

安全
McAfee 的威胁分析师发现了五个可以窃取用户网络活动信息的 Google Chrome 扩展程序。在被 Google 从 Chrome Web Store 移除之前,其总下载量已超 140 万次。

McAfee 的威胁分析师发现了五个可以窃取用户网络活动信息的 Google Chrome 扩展程序。在被 Google 从 Chrome Web Store 移除之前,其总下载量已超 140 万次。

这些扩展提供了各种功能,例如使用户能够一起观看 Netflix 节目、追踪一些网站优惠券以及进行页面截图。但除了提供上述功能外,它们还会追踪用户的网络活动,用户的每一个网站访问信息都会被发送到扩展程序创建者拥有的服务器上。此举是为了在被访问的电子商务网站中插入代码,修改了网站的 cookie,以便扩展程序作者可以收到任何用户购买物品的附属付款。

而扩展程序的用户并不知道此功能的存在,也不知道被访问的每个网站被发送到扩展程序作者的服务器上的隐私风险。所发现的五个恶意扩展具体如下:

  • Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800,000 次下载
  • Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300,000 次下载
  • Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200,000 次下载
  • FlipShope – Price Tracker Extension (adikhbfjdbjkhelbdnffogkobkekkkej) – 80,000 次下载
  • AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20,000 次下载

根据介绍,所有 5 个扩展都执行了类似的行为。Web 应用程序清单(“manifest.json” 文件)规定了扩展程序在系统中的行为方式,加载了一个多功能脚本(B0.js),将浏览数据发送到攻击者控制的域("langhort [.com")。

每次用户访问新 URL 时,数据都会通过 POST 请求传递。到达欺诈者的信息包括 base64 格式的 URL、用户 ID、设备位置(国家、城市、邮政编码)和一个 encoded referral URL。

如果被访问的网站与扩展作者有活动关系的网站列表中的任何条目相匹配,则服务器会使用两种可能的功能之一来响应 B0.js。

  • “Result ['c'] – passf_url”,命令脚本将提供的 URL(引用链接)作为 iframe 插入访问的网站。
  • “Result ['e'] setCookie”,命令 B0.js 修改 cookie,或者如果扩展已被授予执行此操作的相关权限,则用所提供的 cookie 替换它。

 

值得注意的是,为了逃避检测、分析并迷惑研究人员或警惕的用户,一些扩展程序在执行任何恶意活动之前包含一个时间检查,会将其安装时间延迟 15 天。

责任编辑:赵宁宁 来源: OSCHINA
相关推荐

2016-01-31 17:45:31

2015-11-25 11:00:48

谷歌Chrome浏览器

2022-07-29 14:04:37

开放原子全球开源峰会阿里云龙蜥

2011-10-25 14:45:19

AndroidiOS应用

2012-09-11 09:35:42

Office 2013

2009-04-04 09:03:57

2022-09-05 11:25:22

恶意浏览器Chrome恶意扩展

2021-07-05 12:27:42

Android恶意软件Google

2023-09-11 11:43:48

2022-08-21 16:37:12

应用程序恶意软件Android

2023-01-30 15:06:25

2021-12-23 09:43:15

恶意PyPI代码Python恶意软件

2021-04-02 10:14:02

诈骗软件Fleeceware软应用

2012-05-08 09:47:08

Google PlayAndroid应用程序

2012-04-05 09:52:04

AndroidInstagram

2012-03-31 22:11:44

愤怒的小鸟

2011-12-24 17:55:38

App Store

2011-12-23 09:43:30

苹果手机应用下载量

2022-09-01 11:21:06

扩展恶意代码

2023-07-06 10:40:40

推特Threads
点赞
收藏

51CTO技术栈公众号