安全研究人员发现了四个恶意扩展Google Chrome最近浏览器。在将其拆除之前,扩展名吸引了大约50万活跃的用户。
分析公司Icebrg已确定了扩展名为更改HTTP请求标题,Lite书签,Stickies和Nyoogle。 Icebrg说,这四人可能被用来进行点击欺诈行动,以明确目的产生收入。
Google和其他利益相关者已被Icebrg通知此事,从书写中,更改HTTP请求标题,Lite Bookmark和Stickies已从Chrome网络商店。 Nyoogle仍然可以下载,但是Google尚未就明显的监督发表声明。
Chrome是恶意软件攻击的自然目标
Google Chrome占据了全局Web浏览器的使用,这使其成为网络攻击的默认最爱。而浏览器以其自动的安全功能,主要是为了安全沙箱和快速部署脆弱性补丁,恶意软件作者似乎总是找到一个巧妙的解决方法,可以破解Google提出的保护外壳。
看来,利用演员正在敲击Chrome网络商店中存在的孔,以渗透谷歌在其Web浏览器上实现的安全协议。事实证明,攻击者的最新武器是加载的浏览器扩展。
根据Icebrg的说法,使用这种策略非常有效,因为恶意软件作者利用该系统(看似享有强大的安全性),该系统控制着在Chrome网络商店中发现的浏览器扩展的使用。
“在这种情况下,第三方Google扩展的固有信任,并接受了对这些扩展的用户控制风险,可以使广泛的欺诈运动取得成功。在一个复杂的威胁行为者的手中,同样的工具和技术可以使海滩黑头成为目标网络,“安全公司”说在其综合报告中。
Icebrg警告说,对普通消费者和企业用户的威胁含义都很高和真实。
利用孔
为了强调检测到的威胁的严重性,从理论上讲,该威胁设法公开了约500,000个镀铬用户的系统,这家安全公司简要说明了武器化扩展的工作方式。
“通过设计,Chrome的JavaScript引擎评估(执行)JSON中包含的JavaScript代码。由于安全问题,Chrome阻止了通过扩展从外部来源检索JSON的能力,该扩展必须通过内容安全策略(CSP)明确要求其使用,” Icebrg说。
“当扩展名确实启用'不安全范围'的权限来执行此类操作时,它可能会从外部控制的服务器中检索和处理JSON。这会创建一个场景,扩展作者可以在任何时候注入和执行任意JavaScript代码,任何时候都会收到更新服务器。”
最新事件应说服Google Chrome用户与浏览器扩展程序保持安全距离,特别是那些来自第三方提供商,该提供商是由Google的Web安全流程进行审查的。
