我們每個人都可能或多或少地安裝過各種瀏覽器擴(kuò)展程序：廣告攔截器、在線翻譯器、拼寫檢查器、反指紋追蹤程序或其他東西。然而，很少有人停下來思考：它安全嗎？不幸的是，這些看似無害的迷你應(yīng)用程序可能比你想象得更危險(xiǎn)。下面我們將以最常見的惡意擴(kuò)展系列為例，揭秘瀏覽器擴(kuò)展程序的隱藏威脅。

瀏覽器擴(kuò)展及其作用

瀏覽器擴(kuò)展是為您的瀏覽器添加功能的插件。例如，他們可以屏蔽網(wǎng)頁上的廣告、做標(biāo)注、檢查拼寫等等。需要注意的是，要使擴(kuò)展程序發(fā)揮作用，它需要獲得讀取和更改您在瀏覽器中查看的網(wǎng)頁內(nèi)容的權(quán)限。如果沒有這種訪問權(quán)限，它可能完全發(fā)揮不了作用。

例如，在官方Chrome Web商店中，流行的谷歌翻譯擴(kuò)展程序的隱私實(shí)踐部分聲明，它會收集有關(guān)位置、用戶活動和網(wǎng)站內(nèi)容的信息。但是，它需要訪問所有網(wǎng)站的所有數(shù)據(jù)才能工作，這一事實(shí)在用戶安裝擴(kuò)展程序之前并不會透露給用戶。

【谷歌翻譯擴(kuò)展程序請求獲得“讀取和更改所有網(wǎng)站的所有數(shù)據(jù)”的訪問權(quán)限】

大多數(shù)用戶甚至可能不會閱讀此消息，并且會自動單擊“添加擴(kuò)展程序”以立即開始使用該插件。所有這些都為網(wǎng)絡(luò)犯罪分子以看似無害的擴(kuò)展程序?yàn)榛献臃职l(fā)廣告軟件甚至惡意軟件創(chuàng)造了機(jī)會。

至于廣告軟件（adware）擴(kuò)展，更改顯示內(nèi)容的權(quán)限允許它們在您訪問的網(wǎng)站上顯示廣告。在這種情況下，擴(kuò)展程序的創(chuàng)建者可以通過點(diǎn)擊跟蹤到的廣告商網(wǎng)站的附屬鏈接來牟利。為了獲得更有針對性的廣告內(nèi)容，他們還可能會分析您的搜索查詢和其他數(shù)據(jù)。

當(dāng)涉及到惡意擴(kuò)展時，情況會更糟。訪問所有網(wǎng)站內(nèi)容的權(quán)限將允許竊取卡詳細(xì)信息cookie和其他敏感信息。讓我們看一些例子。

瀏覽器擴(kuò)展威脅示例

Office文件的流氓工具

近年來，網(wǎng)絡(luò)犯罪分子一直在積極傳播惡意WebSearch廣告軟件擴(kuò)展。該家族的成員通常會偽裝成Office文件的工具，例如用于Word到PDF的轉(zhuǎn)換工具。

但是，在安裝之后，它們會將常規(guī)的瀏覽器主頁替換為一個帶有搜索欄和指向第三方資源（例如 AliExpress或 Farfetch）的附屬鏈接的迷你站點(diǎn)。

【下載WebSearch家族成員后的瀏覽器主頁】

安裝后，該擴(kuò)展程序還將默認(rèn)搜索引擎更改為名為search.myway的內(nèi)容。這允許網(wǎng)絡(luò)犯罪分子保存和分析用戶搜索查詢，并根據(jù)他們的興趣為他們提供更相關(guān)的鏈接。

目前，Chrome官方商店已不再提供WebSearch擴(kuò)展，但仍可從第三方資源下載。

難以擺脫的廣告軟件插件

另一個常見的廣告軟件擴(kuò)展家族DealPly的成員，通常會連同從可疑網(wǎng)站下載的盜版內(nèi)容一起潛入用戶的計(jì)算機(jī)。它們的工作方式與WebSearch插件大致相同。

DealPly擴(kuò)展同樣將瀏覽器主頁替換為帶有指向流行數(shù)字平臺的附屬鏈接的迷你站點(diǎn)，并且就像惡意WebSearch擴(kuò)展一樣，它們會替換默認(rèn)搜索引擎并分析用戶搜索查詢以創(chuàng)建更多定制廣告。

【下載DealPly家族成員后的瀏覽器主頁】

更重要的是，DealPly家族的成員極難擺脫。即便用戶刪除了廣告軟件擴(kuò)展程序，每次重啟瀏覽器時它還是會重新安裝到他們的設(shè)備上。

AddScript分發(fā)不需要的cookie

AddScript家族的擴(kuò)展通常會偽裝成從社交網(wǎng)絡(luò)或代理服務(wù)器管理器下載音樂和視頻的工具。但是，除了此功能之外，它們還會用惡意代碼感染受害者的設(shè)備。然后，攻擊者就會使用此代碼在用戶不注意的情況下在后臺觀看視頻，并通過增加觀看次數(shù)來賺取收益。

網(wǎng)絡(luò)犯罪分子的另一個收入來源是將cookie下載到受害者的設(shè)備上。一般來說，cookies會在用戶訪問網(wǎng)站時存儲在用戶的設(shè)備上，并可用作一種數(shù)字標(biāo)記。在正常情況下，附屬網(wǎng)站會承諾將客戶帶到合法網(wǎng)站。為此，他們會通過有趣或有用的內(nèi)容將用戶吸引到他們自己的網(wǎng)站上。然后，他們在用戶的計(jì)算機(jī)上存儲一個cookie，并通過鏈接將它們發(fā)送到目標(biāo)站點(diǎn)。使用此cookie，網(wǎng)站將了解新客戶的來源并向合作伙伴支付費(fèi)用——有時用于支付重定向本身，有時用于任何購買分成，有時用于特定操作（例如注冊）。

AddScript操作人員使用惡意擴(kuò)展來濫用此方案。他們沒有將真實(shí)的網(wǎng)站訪問者發(fā)送給合作伙伴，而是將多個cookie下載到受感染的設(shè)備上。這些cookie用作詐騙者合作伙伴計(jì)劃的標(biāo)記，幫助AddScript運(yùn)營商牟利。事實(shí)上，它們根本不會吸引任何新客戶，它們的“合作伙伴”活動包括用這些惡意擴(kuò)展程序感染計(jì)算機(jī)。

FB Stealer——cookie竊賊

另一個惡意擴(kuò)展家族FB Stealer的工作方式與AddScript有所不同。該家族的成員不會將“擴(kuò)展信息（extras，擴(kuò)展信息提供附加數(shù)據(jù)）”下載到設(shè)備上，而是會竊取重要的cookie。這是它的工作原理。

FB Stealer擴(kuò)展與NullMixer木馬一起進(jìn)入用戶的設(shè)備，受害者通常在嘗試下載被黑客入侵的軟件安裝程序時獲取該木馬。安裝后，木馬會修改用于存儲Chrome瀏覽器設(shè)置的文件，包括有關(guān)擴(kuò)展的信息。

激活后，F(xiàn)B Stealer會偽裝成谷歌翻譯擴(kuò)展，讓用戶放松警惕。該擴(kuò)展程序看起來確實(shí)很有說服力，唯一缺點(diǎn)是瀏覽器會發(fā)出警告稱官方商店并不包含有關(guān)它的信息。

【瀏覽器警告稱官方商店不包含有關(guān)該擴(kuò)展的信息 】

該家族的成員也會替換瀏覽器的默認(rèn)搜索引擎，但這并不是這些擴(kuò)展最令人不快的地方。 FB Stealer的主要功能是從世界上最大的社交網(wǎng)絡(luò)的用戶那里竊取會話cookies。這些cookie可以讓您在每次訪問該站點(diǎn)時繞過登錄——它們還允許攻擊者無需即可進(jìn)入。例如，以這種方式劫持一個帳戶后，攻擊者就可以向受害者的朋友和親戚發(fā)送消息要錢。

防護(hù)建議

瀏覽器擴(kuò)展是大有可為的工具，不能因噎廢食，但重要的是要謹(jǐn)慎對待它們，并意識到它們并不像人們想象的那么無害。因此，我們建議采取以下安全措施：

僅從官方來源下載擴(kuò)展。請記住，這并非無懈可擊的安全保證——惡意擴(kuò)展確實(shí)會時不時地滲透到官方商店。但此類平臺通常會更加關(guān)注用戶安全，并最終設(shè)法刪除惡意擴(kuò)展；

不要安裝太多擴(kuò)展程序并定期檢查列表。如果發(fā)現(xiàn)了不是自己安裝的東西，一定要提高警惕，及時處理；

使用可靠的安全解決方案。

原文鏈接：https://usa.kaspersky.com/blog/dangers-of-browser-extensions/27020/