警惕！又一大波恶意Chrome插件在谷歌商店上架，谷歌紧急修改商店发布规则

原创

mb5fd340b104967 2021-02-10 20:09:33 ©著作权

文章标签 java 文章分类 Java 后端开发

©著作权归作者所有：来自51CTO博客作者mb5fd340b104967的原创作品，请联系作者获取转载授权，否则将追究法律责任

作为最重要和最不可分割的一部分，可以说没有Chrome插件，就不会有Chrome浏览器今天这么辉煌的成绩。

当然，另一方面，数量庞多的Chrome插件也给谷歌浏览器开发团队带来了不小的困扰——恶意插件不断涌现，新恶意插件上架的速度几乎跟谷歌删除它们的速度一样快。
这些恶意插件往往打着各种幌子伪装成常规的浏览器工具，然后劫持用户电脑、植入恶意代码、钓鱼、窃取信息、挖矿、重定向到恶意网站等等。
最近这段时间，Chrome商店里又冒出来了一大批这样的插件。

警惕！又一大波恶意Chrome插件在谷歌商店上架，谷歌紧急修改商店发布规则_java

“完美”的山寨
4月中旬，MyCrypto的安全总监哈里·丹利（Harry Denley）发布了一篇联合调查报告。
报告称，他们近期发现Google在Chrome网上应用店删除了49个Chrome插件，这些无一例外都是恶意插件。
据调查报告，它们都伪装成了知名的、合法合规的加密货币钱包，看起来就像是官方推出的浏览器工具。
但是，一旦用户在这里输入了账户密码，这些插件就会向其后端发送HTTP POST请求，恶意行为者会在该后端接收密钥，并窃取受害者的帐户。

演示视频中显示，这些山寨插件的使用体验和正版加密钱包一模一样。
但是用户在提交账户密码之后，恶意插件会将这些“秘密”发送回开发者服务器，然后再返回给用户默认视图，接着就什么也不做了。
这样导致的结果是：

1、用户以为提交失败，再次输入了账户密码；

2、用户卸载这个插件，一直到钱包里的钱全没了也不知道原因出在哪里。

而且在Chrome商店中，这些插件的评价都很高，甚至高达5星。许多水军在下面对这些插件给出了正面反馈，以诱使用户下载。

更重要的是，这些恶意插件往往还会通过Google Ads和其他渠道投放广告，吸引用户来安装，不少用户都是这么中招的。
在Chrome帮助论坛、Reddit和Toshi Times上，不少网友公开发布了有关安装这些插件后钱包资金丢失的信息。

并且，根据研究人员的分析，这些恶意插件的开发者都不是新手了。
这一批的49个插件被下架后不久，5月初，哈里·丹利又发现了22个同样功能的恶意山寨插件。

伪装成正版的，尤其是知名的品牌工具，一直都是这些恶意开发者的惯用伎俩。

早在去年11月，Chrome商店里就上架了两款与AdBlock和uBlock同名的山寨版插件。

要知道，AdBlock和uBlock作为浏览器中最出名的两款广告屏蔽工具，用户基数十分庞大。
而这两款山寨插件无论是下载量、评价和商店排名都很不错，给用户造成了极强的迷惑性。
并且它们也都是基于原始“AdBlock的代码开发的，因此表面上也可以用来屏蔽广告，连技术人员都可能被蒙骗过去。
但是，在安装插件后大约55小时，响应突然改变——
它们会连接开发者的服务器请求资源 , 下载的内容主要是某些广告联盟的Cookie文件。

研究人员估计，这两个Chrome插件每周有160万活跃用户，并通过Cookie stuffing每月获利数百万美元。
更讽刺的是，另一款广告拦截工具AdGuard的山寨版还在火狐插件商店加上推荐徽章。
在丰厚的利益诱惑下，这样的恶意行为显然已经越来越猖獗了。

开源的恶意插件
4月底，安全研究员马修·布莱恩特（Matthew Bryant）开发了一种可以入侵Chrome浏览器的插件，并作为开源项目在GitHub上发布。
根据他的解释，这是一个伪装成Chrome插件的恶意植入程序，可以将受害Chrome浏览器变成功能齐全的HTTP代理。
通过使用此工具，黑客可以在其末端登录该工具的控制面板，以管理所有受感染的浏览器。
警惕！又一大波恶意Chrome插件在谷歌商店上架，谷歌紧急修改商店发布规则_java_02
这意味着，一旦攻击者连接到受感染的主机，他们便拥有了对方的绝对控制权，比如通过劫持登录的会话和在线身份来访问禁止区域，例如企业内部的应用程序。
所以，像CursedChrome插件这样的项目无疑是攻击者的理想工具。
因此该插件发布后，就引发了许多争议，很多人认为马修·布莱恩特是在“助纣为虐”。
警惕！又一大波恶意Chrome插件在谷歌商店上架，谷歌紧急修改商店发布规则_java_03
但是，他自己表示这并非本意，而是想提高大家对恶意Chrome插件在企业环境中可能造成损害的防范意识。
因为现在越来越多的公司都开始使用基于Web的工具，比如Chrome插件。
另一方面，他也希望浏览器开发团队能以此模拟黑客攻击行为，尽快给出解决方案，否则永远都无法得到进步和创新。

最新商店规则
Chrome插件商店拥有目前业内最丰富的浏览器资源，但其中也混入了不少具有欺骗性质、甚至带有恶意的垃圾插件。
对于恶意行为者来说，Chrome插件商店一直都是他们重要的“营业”领域，谷歌开发团队也一直为此不断做出调整对策。
好消息是，前不久谷歌已经宣布了新的Chrome网上应用店政策。
根据新订的规则，商店中20多万个插件的开发人员必须在8月27日前实施必要的更改，否则可能被谷歌官方下架。

警惕！又一大波恶意Chrome插件在谷歌商店上架，谷歌紧急修改商店发布规则_java_04
这些限制包括：
1、开发人员不能同时执行多个插件；
2、插件不得包含误导性的描述，开发人员名称，标题，图标，屏幕截图或促销图片；
3、不得通过虚假下载和水军操纵评论，不得在安装数和打分上作弊或刷榜；
4、仅用于启动其它应用或网站的插件将不再被允许；
5、不得滥用通知功能来发送垃圾邮件、广告促销、网络钓鱼、或其它形势的有害消息；
6、禁止向用户发送消息、而又不给予确认消息内容和接收者的机会。

我们能做什么？

对于普通用户而言，我们无法控制Chrome商店里的恶意插件上传，但我们能做的有：

1、尽可能少安装插件，就算要安装也请认准官方的开发者；
2、尽可能多地查看评论；
3、请注意开发人员的声誉，他们对问题反馈的反应，以及发布版本更新的频率；
4、研究插件所需要的权限（在Chrome中，设置 > 扩展程序 > 详细信息），并确保它们没有拥有超出自身功能的权限。