近日，Chrome瀏覽器曝出歷史上最嚴重的安全危機事件之一，安全研究人員發(fā)現(xiàn)33個Chrome瀏覽器擴展程序（插件）遭到網(wǎng)絡(luò)釣魚攻擊，在Chrome應(yīng)用商店發(fā)布的版本被惡意篡改，悄悄從約260萬臺用戶設(shè)備中竊取敏感數(shù)據(jù)。

這些被篡改的擴展程序在Google的Chrome網(wǎng)上應(yīng)用店中上架時間最長達18個月，期間用戶幾乎無法覺察自己的數(shù)據(jù)已經(jīng)泄漏。

最先發(fā)現(xiàn)惡意版本擴展程序的開發(fā)者是數(shù)據(jù)泄露防護服務(wù)商Cyberhaven。后者注意到，其約40萬用戶使用的Chrome擴展程序被惡意更新，新增了竊取敏感數(shù)據(jù)的惡意代碼。

Cyberhaven擴展程序的惡意版本（24.10.4）于12月25日凌晨1:32（UTC）上線，至12月26日凌晨2:50（UTC）被撤下，存在時間共計31小時。在此期間，運行該擴展的Chrome瀏覽器會自動下載并安裝惡意代碼。Cyberhaven隨后發(fā)布了24.10.5和24.10.6版本以修復(fù)這一問題。

Cyberhaven發(fā)現(xiàn)，攻擊者使用相同的網(wǎng)絡(luò)釣魚手段，誘騙Chrome瀏覽器插件開發(fā)者授權(quán)，隨后發(fā)布包含惡意代碼的新版本，手法如下：

攻擊者首先向Chrome應(yīng)用商店熱門插件開發(fā)者發(fā)送郵件，聲稱其擴展程序違反了Google的條款，若不立即采取行動將被撤銷。郵件中的鏈接引導(dǎo)開發(fā)者授權(quán)一個名為“Privacy Policy Extension”的OAuth應(yīng)用訪問其賬戶。一旦授權(quán)，攻擊者便獲得了向Chrome網(wǎng)上應(yīng)用店上傳新版本的權(quán)限，進而發(fā)布包含惡意代碼的版本。

除了Cyberhaven外，另有33個Chrome擴展程序也遭受了類似的攻擊，這些擴展程序的總下載量超過260萬次，具體如下：

瀏覽器擴展程序向來是網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)。例如，2019年，Chrome和Firefox的擴展被發(fā)現(xiàn)從400萬臺設(shè)備竊取了敏感數(shù)據(jù)。許多受感染的設(shè)備運行在數(shù)十家公司的網(wǎng)絡(luò)內(nèi)，包括特斯拉、Blue Origin、FireEye、賽門鐵克、TMobile和Reddit。在許多情況下，防范和遏制惡意擴展程序難度不大，因為許多擴展程序沒有任何實用價值。

但是Cyberhaven這樣的擴展程序一旦被黑，解決威脅就不那么容易了。畢竟，該擴展程序提供了許多有價值的服務(wù)。專家表示，一個潛在的解決方案是讓企業(yè)編制一個瀏覽器資產(chǎn)管理列表，該列表只允許運行選定的擴展程序并阻止所有其他擴展程序。即便如此，Cyberhaven客戶仍會安裝惡意擴展版本，除非資產(chǎn)管理列表指定信任特定版本并禁止信任所有其他版本。

最后，任何運行過上述受感染擴展程序的用戶都應(yīng)該認真考慮更改密碼和其他身份驗證憑據(jù)。