谷歌浏览器曝安全信息泄露，恶意软件可下载 3200 万个扩展项攻击用户

技术编辑：徐九丨发自 SegmentFault 思否

北京时间 6 月 18 日，来自加利福尼亚州桑尼维尔的威胁检测厂商 Awake Security 在媒体采访中表示，一款恶意软件可经过谷歌浏览器下载 3200 万个扩展程序来攻击用户，攻击的范围涉及电子邮件、工资单和其余敏感项。

迄今为止影响最广的恶意 Chrome 商店事件

根据下载量，Awake 联合创始人兼首席科学家 Gary Golomb 表示，这是迄今为止影响最广的恶意 Chrome 商店事件。

对此，Google 拒绝讨论与之前的活动相比，这次最新的间谍软件形成的影响范围，以及为何过去承诺会更紧密地监督产品，但为何并无经过自行检测删除恶意扩展程序。

Google 发言人 Scott Westover 在采访中告诉媒体：“当咱们收到网上商店中违反咱们政策的扩展程序的警报时，咱们将采起行动并将结合这些事件的经验，以改进咱们的自动化和手动分析系统。”

据悉，上个月谷歌公司已从谷歌网上应用商店中删除 70 多个恶意加载项。目前尚不清楚谁在分发该恶意软件。Awake 表示，开发人员在向 Google 提交扩展程序时提供了虚假的联系信息。

浏览器扩展乱象

随着浏览器扩展安装数量的增长，随之潜在的风险也在增长。

不少用户以为扩展程序都是安全的，但实际上，扩展程序能够读取设备上浏览器与后端服务器之间交换的全部数据，不少浏览器扩展有可能令用户处于加密劫持、勒索软件和其余恶意软件攻击风险之下。

去年，一项针对 12 万个 Chrome 扩展的调查显示，超过三分之一的谷歌 Chrome 扩展要求用户容许访问他们在任何网站上的全部数据。同一项调查还发现，Chrome 网上商店列出的 12 万个 Chrome 扩展中，大约 85% 没有列出隐私政策，这意味着没有具备法律约束力的文件来描述扩展开发者承诺如何处理用户数据。

其余的调查结果还包括，77% 的测试 Chrome 扩展没有列出支持站点，32% 的扩展使用了包含公开漏洞的第三方 JavaScript 库，9% 的扩展能够访问和读取 cookie 文件，其中一些用于身份验证操做。

据悉，在交易市场中恶意分子会从对维护扩展失去兴趣的开发人员那里购买扩展程序，并发起鱼叉式网络钓鱼攻击，劫持扩展开发人员的账户，从而推送恶意代码。

因为这些扩展插件不只被安装在我的设备上，也被安装在企业的员工设备上，所以它们可收集大量重要的企业信息，包括员工的工做状况、部分网页内容、API 密钥、私有原始代码、私有 LAN 架构、防火墙登陆密码及经营内容等

---

因为浏览器扩展程序有权访问被用户浏览的全部网页，因此这些扩展程序能够执行几乎全部操做，如窃取用户的网上账户密码等。所以，建议你们尽量减小扩展应用的安装，并仅安装可靠来源的扩展应用，了解各扩展程序申请的权限。

对于一些企业用户来讲，有些供应商提供企业版浏览器，里面包含了管理应用及扩展的策略引擎、数据安全及隐私功能，还有浏览体验，能够经过调整设置以加强隐私及安全性。