我們每個人都可能至少安裝過某種瀏覽器擴展程序：廣告攔截器、在線翻譯器、拼寫檢查器或其他東西。然而，很少有人停下來思考：它安全嗎？不幸的是，這些看似無害的迷你應(yīng)用程序可能比你想象得更危險。下面我們將以最常見的惡意擴展系列為例，解釋安裝瀏覽器插件后可能出現(xiàn)的問題。

什么是擴展，它們有什么作用？

讓我們從基本定義開始，找出問題的根源。

瀏覽器擴展是為您的瀏覽器添加功能的插件。例如，他們可以屏蔽網(wǎng)頁上的廣告、做標(biāo)注、檢查拼寫等等。對于流行的瀏覽器，有官方擴展商店可以幫助您選擇、比較和安裝想要的插件。但也可以從非官方來源安裝擴展。

需要注意的是，要使擴展程序發(fā)揮作用，它需要獲得讀取和更改您在瀏覽器中查看的網(wǎng)頁內(nèi)容的權(quán)限。如果沒有這種訪問權(quán)限，它可能完全發(fā)揮不了作用。

以Google Chrome為例，擴展程序需要能夠讀取和更改您訪問的所有網(wǎng)站上的所有數(shù)據(jù)。這看起來格外值得警惕，對吧？然而，即便是官方商店也很少關(guān)注這一問題。

例如，在官方Chrome Web商店中，流行的谷歌翻譯擴展程序的隱私實踐部分聲明，它會收集有關(guān)位置、用戶活動和網(wǎng)站內(nèi)容的信息。但是，它需要訪問所有網(wǎng)站的所有數(shù)據(jù)才能工作，這一事實在用戶安裝擴展程序之前并不會透露給用戶。 

【谷歌翻譯擴展程序請求獲得“讀取和更改所有網(wǎng)站的所有數(shù)據(jù)”的訪問權(quán)限】

大多數(shù)用戶甚至可能不會閱讀此消息，并且會自動單擊“添加擴展程序”以立即開始使用該插件。所有這些都為網(wǎng)絡(luò)犯罪分子以看似無害的擴展程序為幌子分發(fā)廣告軟件甚至惡意軟件創(chuàng)造了機會。

至于廣告軟件（adware）擴展，更改顯示內(nèi)容的權(quán)限允許它們在您訪問的網(wǎng)站上顯示廣告。在這種情況下，擴展程序的創(chuàng)建者可以通過點擊跟蹤到的廣告商網(wǎng)站的附屬鏈接來牟利。為了獲得更有針對性的廣告內(nèi)容，他們還可能會分析您的搜索查詢和其他數(shù)據(jù)。

當(dāng)涉及到惡意擴展時，情況會更糟。訪問所有網(wǎng)站內(nèi)容的權(quán)限將允許攻擊者竊取卡詳細(xì)信息cookie和其他敏感信息。讓我們看一些例子。

惡意擴展案例

Office文件的流氓工具

近年來，網(wǎng)絡(luò)犯罪分子一直在積極傳播惡意WebSearch廣告軟件擴展。該家族的成員通常會偽裝成Office文件的工具，例如用于Word到PDF的轉(zhuǎn)換工具。

但是，在安裝之后，它們會將常規(guī)的瀏覽器主頁替換為一個迷你站點，該站點帶有搜索欄和跟蹤至第三方資源（例如 AliExpress或 Farfetch）的附屬鏈接。

【下載WebSearch家族成員后的瀏覽器主頁】

安裝后，該擴展程序還將默認(rèn)搜索引擎更改為名為search.myway的內(nèi)容。這允許網(wǎng)絡(luò)犯罪分子保存和分析用戶搜索查詢，并根據(jù)他們的興趣為他們提供更相關(guān)的鏈接。

目前，Chrome官方商店已不再提供WebSearch擴展，但仍可從第三方資源下載。

難以擺脫的廣告軟件插件

另一個常見的廣告軟件擴展家族DealPly的成員，通常會連同從可疑網(wǎng)站下載的盜版內(nèi)容一起潛入用戶的計算機。它們的工作方式與WebSearch插件大致相同。

DealPly擴展同樣將瀏覽器主頁替換為帶有指向流行數(shù)字平臺的附屬鏈接的迷你站點，并且就像惡意WebSearch擴展一樣，它們會替換默認(rèn)搜索引擎并分析用戶搜索查詢以創(chuàng)建更多定制廣告。

【下載DealPly家族成員后的瀏覽器主頁】

更重要的是，DealPly家族的成員極難擺脫。即使用戶刪除了廣告軟件擴展程序，每次重啟瀏覽器時它也會重新安裝到他們的設(shè)備上。

AddScript分發(fā)不需要的cookie

AddScript家族的擴展通常會偽裝成從社交網(wǎng)絡(luò)或代理服務(wù)器管理器下載音樂和視頻的工具。但是，除了此功能之外，它們還會用惡意代碼感染受害者的設(shè)備。然后，攻擊者便可以使用此代碼在用戶不注意的情況下在后臺觀看視頻，并通過增加觀看次數(shù)來賺取收入。

網(wǎng)絡(luò)犯罪分子的另一個收入來源是將cookie下載到受害者的設(shè)備上。一般來說，cookies會在用戶訪問網(wǎng)站時存儲在用戶的設(shè)備上，并可用作一種數(shù)字標(biāo)記。在正常情況下，附屬網(wǎng)站會承諾將客戶帶到合法網(wǎng)站。為此，他們會通過有趣或有用的內(nèi)容將用戶吸引到他們自己的網(wǎng)站上。然后，他們在用戶的計算機上存儲一個cookie，并通過鏈接將它們發(fā)送到目標(biāo)站點。使用此cookie，網(wǎng)站將了解新客戶的來源并向合作伙伴支付費用——有時用于支付重定向本身，有時用于任何購買分成，有時用于特定操作（例如注冊）。

AddScript操作人員使用惡意擴展來濫用此方案。他們沒有將真實的網(wǎng)站訪問者發(fā)送給合作伙伴，而是將多個cookie下載到受感染的設(shè)備上。這些cookie用作詐騙者合作伙伴計劃的標(biāo)記，幫助AddScript運營商牟利。事實上，它們根本不會吸引任何新客戶，它們的“合作伙伴”活動包括用這些惡意擴展程序感染計算機。

FB Stealer—— cookie竊賊

另一個惡意擴展家族FB Stealer的工作方式與AddScript有所不同。該家族的成員不會將“擴展信息（extras，擴展信息提供附加數(shù)據(jù)）”下載到設(shè)備上，而是會竊取重要的cookie。這是它的工作原理。

FB Stealer擴展與NullMixer木馬一起進入用戶的設(shè)備，受害者通常在嘗試下載被黑客入侵的軟件安裝程序時獲取該木馬。安裝后，木馬會修改用于存儲Chrome瀏覽器設(shè)置的文件，包括有關(guān)擴展的信息。

激活后，F(xiàn)B Stealer會偽裝成谷歌翻譯擴展，讓用戶放松警惕。該擴展程序看起來確實很有說服力，唯一缺點是瀏覽器會發(fā)出警告稱官方商店并不包含有關(guān)它的信息。

【瀏覽器警告稱官方商店不包含有關(guān)該擴展的信息 】

該家族的成員也會替換瀏覽器的默認(rèn)搜索引擎，但這并不是這些擴展最令人不快的地方。 FB Stealer的主要功能是從世界上最大的社交網(wǎng)絡(luò)的用戶那里竊取會話cookies。這些cookie可以讓您在每次訪問該站點時繞過登錄——它們還允許攻擊者無需密碼即可進入。例如，以這種方式劫持一個帳戶后，攻擊者就可以向受害者的朋友和親戚發(fā)送消息要錢。

防護建議

瀏覽器擴展是有用的工具，但重要的是要謹(jǐn)慎對待它們，并意識到它們并不像人們想象的那么無害。因此，我們建議采取以下安全措施：

• 僅從官方來源下載擴展。請記住，這并非無懈可擊的安全保證——惡意擴展確實會時不時地滲透到官方商店。但此類平臺通常會更加關(guān)注用戶安全，并最終設(shè)法刪除惡意擴展；
• 不要安裝太多擴展程序并定期檢查列表。如果發(fā)現(xiàn)了不是自己安裝的東西，一定要提高警惕，及時處理；
• 使用可靠的安全解決方案。

本文翻譯自：https://usa.kaspersky.com/blog/dangers-of-browser-extensions/27020/如若轉(zhuǎn)載，請注明原文地址。