600万用户面临风险：58款 Chrome 扩展暗藏追踪代码

安全研究人员发现，数十款Chrome扩展程序（其中多款在Chrome应用商店获得推荐位，但存在搜索引擎未收录的隐藏版本）含有追踪用户的隐蔽功能。这些扩展程序累计安装量已达600万次。

Secure Annex机构研究员John Tuckner揭露了一个由58个扩展程序构成的网络。这些扩展程序均获取了过于宽泛的权限，并暗藏可能恶意操作的功能模块，包括访问Cookie和令牌、监控用户行为、执行远程代码及窃取其他敏感数据。

“这些扩展具备显著的指令控制能力，例如罗列用户高频访问网站、操控浏览器标签页开关、获取用户访问热点等。”研究人员在报告中指出。这些扩展伪装成隐私保护或实用工具，涵盖优惠券搜索器到广告拦截器等多种类型，部分甚至声称能防护其他恶意扩展。

网络安全媒体Cybernews研究团队近期警示称，多数热门Chrome扩展在安装时会索取过度宽泛的侵入性权限。分析数据显示，每100个扩展中就有86个要求获取高危险权限。

Tuckner的发现清单进一步印证了扩展程序的潜在危险性。

被发现的扩展大多处于未上架状态，这意味着普通用户无法通过Chrome应用商店或搜索引擎直接发现。用户仅能通过特定URL链接访问，而此类链接通常通过恶意广告、弹窗、钓鱼欺诈、虚假更新提示等渠道传播。

研究人员强调：”为何这些普通用户无法发现的扩展会被谷歌标注为’推荐’？这完全突破了我的认知底线。普通用户很可能将’推荐’标识等同于官方认证的可靠产品。’推荐’与’不可发现’两种属性绝不应该同时存在。”

Tuckner最初通过拼写错误的”unknow[.]com”域名锁定了35个未上架可疑扩展。在Obsidian Security的技术支持下，研究团队将具有相同行为特征的扩展补充至清单。据Bleeping Computer报道，谷歌已获知该研究结果。

目前可疑扩展已上报至Chrome，研究人员持续监控其状态演变。”值得庆幸的是，部分扩展现已被移出Chrome应用商店，但并非全部！为何存在如此差异！”研究人员在社交媒体发文质疑。

Tuckner公开了含有可疑功能的扩展清单，安装量排名前位的包括：

1、Cuponomia优惠券与返现工具（超70万安装）

2、浏览器防护盾（超30万安装）

3、Chrome全安防护（超30万安装）

4、医生版浏览器检测（超20万安装）

这些扩展关联域名均使用相似关键词模式，完整危害指标(IoC)清单已包含在研究报告中。

恶意扩展判定依据分析：

1、权限清单异常：所有Chrome扩展的manifest文件都需声明所需权限。要求获取与基础功能不匹配的过度权限成为首要疑点

2、域名拼写错误：扩展程序通信域名存在明显拼写错误，如”unknow[.]com”具有典型诱导特征

3、代码结构异常：宣称功能的实现代码量极少甚至缺失，核心代码经过深度混淆处理

4、远程控制能力：扩展配置支持远程操控，代码结构具备间谍软件或信息窃取程序家族特征

深度代码分析揭露了Cookie窃取、用户追踪、强制设置搜索引擎、通过推荐参数劫持收益等多项恶意功能。所有问题扩展均采用相同代码模式、回调域名结构及权限配置列表。

Cybernews团队再次警示：Chrome扩展权限直接决定其对浏览器及系统的控制范围。建议用户定期审查并删除闲置扩展，严格遵循安全操作规范。

---

消息来源：cybernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；