McAfee 的威脅分析師發(fā)現(xiàn)了五個可以竊取用戶網(wǎng)絡(luò)活動信息的 Google Chrome 擴(kuò)展程序。在被 Google 從 Chrome Web Store 移除之前，其總下載量已超 140 萬次。

這些擴(kuò)展提供了各種功能，例如使用戶能夠一起觀看 Netflix 節(jié)目、追蹤一些網(wǎng)站優(yōu)惠券以及進(jìn)行頁面截圖。但除了提供上述功能外，它們還會追蹤用戶的網(wǎng)絡(luò)活動，用戶的每一個網(wǎng)站訪問信息都會被發(fā)送到擴(kuò)展程序創(chuàng)建者擁有的服務(wù)器上。此舉是為了在被訪問的電子商務(wù)網(wǎng)站中插入代碼，修改了網(wǎng)站的 cookie，以便擴(kuò)展程序作者可以收到任何用戶購買物品的附屬付款。

而擴(kuò)展程序的用戶并不知道此功能的存在，也不知道被訪問的每個網(wǎng)站被發(fā)送到擴(kuò)展程序作者的服務(wù)器上的隱私風(fēng)險。所發(fā)現(xiàn)的五個惡意擴(kuò)展具體如下：

• Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800,000 次下載
• Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300,000 次下載
• Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200,000 次下載
• FlipShope – Price Tracker Extension (adikhbfjdbjkhelbdnffogkobkekkkej) – 80,000 次下載
• AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20,000 次下載

根據(jù)介紹，所有 5 個擴(kuò)展都執(zhí)行了類似的行為。Web 應(yīng)用程序清單（“manifest.json” 文件）規(guī)定了擴(kuò)展程序在系統(tǒng)中的行為方式，加載了一個多功能腳本（B0.js），將瀏覽數(shù)據(jù)發(fā)送到攻擊者控制的域（"langhort [.com"）。

每次用戶訪問新 URL 時，數(shù)據(jù)都會通過 POST 請求傳遞。到達(dá)欺詐者的信息包括 base64 格式的 URL、用戶 ID、設(shè)備位置（國家、城市、郵政編碼）和一個 encoded referral URL。

如果被訪問的網(wǎng)站與擴(kuò)展作者有活動關(guān)系的網(wǎng)站列表中的任何條目相匹配，則服務(wù)器會使用兩種可能的功能之一來響應(yīng) B0.js。

• “Result ['c'] – passf_url”，命令腳本將提供的 URL（引用鏈接）作為 iframe 插入訪問的網(wǎng)站。
• “Result ['e'] setCookie”，命令 B0.js 修改 cookie，或者如果擴(kuò)展已被授予執(zhí)行此操作的相關(guān)權(quán)限，則用所提供的 cookie 替換它。

值得注意的是，為了逃避檢測、分析并迷惑研究人員或警惕的用戶，一些擴(kuò)展程序在執(zhí)行任何惡意活動之前包含一個時間檢查，會將其安裝時間延遲 15 天。

? ?