下载量超百万的恶意Chrome扩展,可追踪用户网络行为

McAfee 的威胁分析师发现了五个可以窃取用户网络活动信息的 Google Chrome 扩展程序。在被 Google 从 Chrome Web Store 移除之前,其总下载量已超 140 万次。

网站建设哪家好,找成都创新互联!专注于网页设计、网站建设、微信开发、成都小程序开发、集团企业网站建设等服务项目。为回馈新老客户创新互联还提供了察哈尔右翼前免费建站欢迎大家使用!

这些扩展提供了各种功能,例如使用户能够一起观看 Netflix 节目、追踪一些网站优惠券以及进行页面截图。但除了提供上述功能外,它们还会追踪用户的网络活动,用户的每一个网站访问信息都会被发送到扩展程序创建者拥有的服务器上。此举是为了在被访问的电子商务网站中插入代码,修改了网站的 cookie,以便扩展程序作者可以收到任何用户购买物品的附属付款。

而扩展程序的用户并不知道此功能的存在,也不知道被访问的每个网站被发送到扩展程序作者的服务器上的隐私风险。所发现的五个恶意扩展具体如下:

  • Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800,000 次下载
  • Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300,000 次下载
  • Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200,000 次下载
  • FlipShope – Price Tracker Extension (adikhbfjdbjkhelbdnffogkobkekkkej) – 80,000 次下载
  • AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20,000 次下载

根据介绍,所有 5 个扩展都执行了类似的行为。Web 应用程序清单(“manifest.json” 文件)规定了扩展程序在系统中的行为方式,加载了一个多功能脚本(B0.js),将浏览数据发送到攻击者控制的域("langhort [.com")。

每次用户访问新 URL 时,数据都会通过 POST 请求传递。到达欺诈者的信息包括 base64 格式的 URL、用户 ID、设备位置(国家、城市、邮政编码)和一个 encoded referral URL。

如果被访问的网站与扩展作者有活动关系的网站列表中的任何条目相匹配,则服务器会使用两种可能的功能之一来响应 B0.js。

  • “Result ['c'] – passf_url”,命令脚本将提供的 URL(引用链接)作为 iframe 插入访问的网站。
  • “Result ['e'] setCookie”,命令 B0.js 修改 cookie,或者如果扩展已被授予执行此操作的相关权限,则用所提供的 cookie 替换它。

 

值得注意的是,为了逃避检测、分析并迷惑研究人员或警惕的用户,一些扩展程序在执行任何恶意活动之前包含一个时间检查,会将其安装时间延迟 15 天。

​ ​

新闻名称:下载量超百万的恶意Chrome扩展,可追踪用户网络行为
网页地址:http://www.mswzjz.com/qtweb/news40/198990.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联