总部位于布拉格的Avast公司研究人员表示,多达300万台设备被Chrome和Edge浏览器扩展插件感染,这些扩展插件窃取个人数据,并将用户重定向到广告或钓鱼网站。
他们总共发现了28个包含恶意软件的谷歌Chrome和微软Edge浏览器扩展插件。这些插件标榜自己可以从Facebook、Instagram、Vimeo和Spotify等网站下载图片、视频或其他内容,借此吸引用户安装使用。很明显,谷歌和微软并没有意识到他们的存在,截止到现在,仍有不少的恶意扩展插件仍然可以在他们提供的商店上面下载。
Avast的研究人员是在基于javascript的扩展中发现的恶意代码,该代码可以让他们将恶意软件下载到受感染的电脑上。在一篇文章中,研究人员写道:有用户反映,这些扩展会进行而已操作,比如将他们输入的链接去重定向到其他网站。
具体而言,就是当用户点击链接时,扩展就会将点击信息发送到攻击者所控制的服务器,随后攻击者可以选择发送一条命令,将受害者从真正的链接目标重定向到一个新的被劫持的URL,然后再将他们重定向到他们想要访问的实际网站。由于所有点击的日志被发送到这些第三方中介网站,因此用户的隐私受到了损害。攻击者会利用这种方式收集用户的电子邮件地址和设备信息,包括第一次登录时间、最后登录时间、设备名称、操作系统、所使用的浏览器及其版本号,甚至包括IP地址。
目前,研究人员还不清楚这些有问题的扩展插件是开发时就已经预装了恶意代码,还是开发者等到扩展插件获取一定的用户数量之后才推出恶意更新。当然,也不排除一种可能,那就是开发者在开发扩展插件时自始至终都未有恶意的想法,但是在不知情的情况下,被一些不法人员利用。