根据最近的报道,谷歌已经从其Chrome Web Store中提取了不少于500个恶意扩展。此举是继研究员Jamila Kaya使用Duo Security的CRXcavator工具进行的广泛调查之后进行的。这些扩展程序从事多种恶意活动,从浏览数据盗窃,执行点击欺诈到恶意。
出现问题的扩展主要是因为它们在后台使用了模仿代码。在许多情况下,仅对内部函数的名称进行了一些小的更改。他们每个人都要求获得比预期数量更多的权限。这些允许扩展访问浏览数据并甚至在访问HTTPS站点时也可以运行。
尽管存在广泛的担忧,但删除的大多数恶意扩展程序仍被用于进行欺诈。除了发送将用户置于恶意软件和网络钓鱼域的重定向外,还需要扩展与域联系。他们这样做是在用户不知情的情况下进行的。
值得称赞的是,它发现了大多数恶意的Chrome扩展程序
虽然最终删除了Chrome网上应用店中大约190,000个扩展中的500个恶意扩展,但Google确实应在此获得一些荣誉。这个数字仅代表商店中扩展的0.26%。谷歌使用自己的指纹识别方法发现了大多数不良扩展。
安全研究人员仅发现大约70个最初使用Duo Security的CRXcavator工具。所有这些扩展似乎都直接相关。每个人还联系了类似的指挥和控制网络。更令人不安的是,那些似乎旨在抵制沙箱分析。
但这并不一定意味着Google摆脱了困境。Duo Security和Jamila Kaya发现的扩展程序已经安装了170万次。其中一些已经存在于Chrome网上应用店多年了。尽管这家搜索巨头声称进行“常规扫描”以精确找到这些扩展名并将其删除。即,那些使用“相似的技术,代码和行为”的人。
谷歌在这里的业绩也不是很出色。该公司已在近一年的时间内注意到并删除了恶意扩展。
在最近的麻烦中,Google于1月下旬完全暂停了付费的Chrome Web扩展程序。在此之后,发现其中一些被用来欺诈性地完成交易。该暂停将保留在原处,直到找到更永久的解决方案为止。
Google通知用户,但用户仍然需要删除扩展程序
受到扩展影响的用户会通过Google的常规方法得到通知。在浏览器中,用户端会自动禁用扩展。它们也被明确标记为恶意。但是浏览器不会自动从Chrome删除500个恶意扩展中的任何一个。这是用户需要完成的过程。
幸运的是,这是一个容易遵循的过程。首先,用户必须导航到浏览器,然后点击或单击UI右上角的三点菜单。然后,他们需要选择“更多工具”子菜单。从那里,单击“扩展”将调出所有已安装扩展的页面。
每个扩展都有自己的按钮集,分别标记为“详细信息”和“删除”。启用或禁用扩展名的切换可以忽略。只需点击或单击“删除”即可完成关联的任务。这些相同的步骤将在Chrome操作系统,Linux,Windows和Mac桌面环境中起作用。Android设备不受影响。