近日，Chrome瀏覽器曝出歷史上最嚴(yán)重的安全危機(jī)事件之一，安全研究人員發(fā)現(xiàn)33個(gè)Chrome瀏覽器擴(kuò)展程序（插件）遭到網(wǎng)絡(luò)釣魚攻擊，在Chrome應(yīng)用商店發(fā)布的版本被惡意篡改，悄悄從約260萬臺(tái)用戶設(shè)備中竊取敏感數(shù)據(jù)。

這些被篡改的擴(kuò)展程序在Google的Chrome網(wǎng)上應(yīng)用店中上架時(shí)間最長達(dá)18個(gè)月，期間用戶幾乎無法覺察自己的數(shù)據(jù)已經(jīng)泄漏。

最先發(fā)現(xiàn)惡意版本擴(kuò)展程序的開發(fā)者是數(shù)據(jù)泄露防護(hù)服務(wù)商Cyberhaven。后者注意到，其約40萬用戶使用的Chrome擴(kuò)展程序被惡意更新，新增了竊取敏感數(shù)據(jù)的惡意代碼。

Cyberhaven擴(kuò)展程序的惡意版本（24.10.4）于12月25日凌晨1:32（UTC）上線，至12月26日凌晨2:50（UTC）被撤下，存在時(shí)間共計(jì)31小時(shí)。在此期間，運(yùn)行該擴(kuò)展的Chrome瀏覽器會(huì)自動(dòng)下載并安裝惡意代碼。Cyberhaven隨后發(fā)布了24.10.5和24.10.6版本以修復(fù)這一問題。

Cyberhaven發(fā)現(xiàn)，攻擊者使用相同的網(wǎng)絡(luò)釣魚手段，誘騙Chrome瀏覽器插件開發(fā)者授權(quán)，隨后發(fā)布包含惡意代碼的新版本，手法如下：

攻擊者首先向Chrome應(yīng)用商店熱門插件開發(fā)者發(fā)送郵件，聲稱其擴(kuò)展程序違反了Google的條款，若不立即采取行動(dòng)將被撤銷。郵件中的鏈接引導(dǎo)開發(fā)者授權(quán)一個(gè)名為“Privacy Policy Extension”的OAuth應(yīng)用訪問其賬戶。一旦授權(quán)，攻擊者便獲得了向Chrome網(wǎng)上應(yīng)用店上傳新版本的權(quán)限，進(jìn)而發(fā)布包含惡意代碼的版本。

除了Cyberhaven外，另有33個(gè)Chrome擴(kuò)展程序也遭受了類似的攻擊，這些擴(kuò)展程序的總下載量超過260萬次，具體如下：

瀏覽器擴(kuò)展程序向來是網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)。例如，2019年，Chrome和Firefox的擴(kuò)展被發(fā)現(xiàn)從400萬臺(tái)設(shè)備竊取了敏感數(shù)據(jù)。許多受感染的設(shè)備運(yùn)行在數(shù)十家公司的網(wǎng)絡(luò)內(nèi)，包括特斯拉、Blue Origin、FireEye、賽門鐵克、TMobile和Reddit。在許多情況下，防范和遏制惡意擴(kuò)展程序難度不大，因?yàn)樵S多擴(kuò)展程序沒有任何實(shí)用價(jià)值。

但是Cyberhaven這樣的擴(kuò)展程序一旦被黑，解決威脅就不那么容易了。畢竟，該擴(kuò)展程序提供了許多有價(jià)值的服務(wù)。專家表示，一個(gè)潛在的解決方案是讓企業(yè)編制一個(gè)瀏覽器資產(chǎn)管理列表，該列表只允許運(yùn)行選定的擴(kuò)展程序并阻止所有其他擴(kuò)展程序。即便如此，Cyberhaven客戶仍會(huì)安裝惡意擴(kuò)展版本，除非資產(chǎn)管理列表指定信任特定版本并禁止信任所有其他版本。

最后，任何運(yùn)行過上述受感染擴(kuò)展程序的用戶都應(yīng)該認(rèn)真考慮更改密碼和其他身份驗(yàn)證憑據(jù)。