據(jù)外媒，國(guó)外安全研究專(zhuān)家近期發(fā)現(xiàn)了一個(gè)惡意擴(kuò)展程序利用遠(yuǎn)程命令和控制務(wù)器，從受感染的瀏覽器中滲出數(shù)據(jù)的方式濫用Chrome的同步功能。

據(jù)悉，攻擊者在獲得了受害者電腦的訪問(wèn)權(quán)限后，在用戶電腦上下載了一個(gè)Chrome擴(kuò)展，并通過(guò)瀏覽器的開(kāi)發(fā)者模式加載。該擴(kuò)展程序冒充安全公司Forcepoint的安全插件，其中包含惡意濫用Chrome同步功能的代碼，以此讓攻擊者控制被感染的瀏覽器。

根據(jù)一份已發(fā)布的安全報(bào)告，為了設(shè)置、讀取或刪除這些密鑰，攻擊者只需在另一個(gè)Chrome瀏覽器中以相同的賬戶登錄谷歌(這可以是一個(gè)拋棄式賬戶)，他們就可以通過(guò)濫用谷歌的基礎(chǔ)設(shè)施與受害者網(wǎng)絡(luò)中的Chrome瀏覽器進(jìn)行通信。