Categories
程式開發

這兩款Chrome插件“有毒”,建議立即刪除


據ZDNet報導,因私自收集用戶數據,谷歌從官方Chrome應用商店移除了兩款ad blocker插件,它們包含惡意代碼。

據悉,這兩款插件分別名為納米Adblocker納米防御者(它們常常被用戶一起安裝),由Hugo Xu開發。在過去一年多的時間,這兩款插件總共有300000次的下載安裝,其中,Nano Adblocker有超過50000次的下載安裝,而Nano Defender則有超過200000次的安裝。

這兩款Chrome插件“有毒”,建議立即刪除 1

值得注意的是,這兩款插件最初的版本並不包含惡意代碼。

10月3日,Nano Adblocker和Nano Defender插件的開發者Hugo Xu表示,因缺乏足夠的時間維護插件,他決定將插件的Chrome應用商店所有權進行出售

他在GitHub上發布了一則重要更新和免責聲明:

位於谷歌Chrome應用商店的插件不再歸我控制,我也不再對新開發者的行動負責。如果您對最近的變更感到擔憂,請記住,您可以隨時卸載此插件或尋找替代選項。

您可能注意到了,Nano Adblocker有數月時間未進行更新。很明顯,我缺乏足夠時間來進行維護。最初,這個項目沒有任何積壓的事情。隨著該項目的發展,我添加了一個待辦事項系統來更好的管理未解決的問題。不過,積壓的事情后來變得越來越多,超出了我的承受能力。

因此,Hugo Xu將這兩款插件賣給“一個土耳其的開發者團隊”,但並未進一步透露交易的相關信息。此後,新的開發者在插件更新中加入了收集數據的代碼。

在交易完成後,插件的用戶之一Raymond Hill(uBlock Origin插件的作者)發現,這兩款插件被修改了,裡麵包含惡意代碼。

插件會把用戶數據發送到未知名的服務器,這顯然為用戶帶來了巨大的安全和隱私風險。

爬坡道:“這兩款插件如今被設計用來從你的outgoing 網絡請求中查找特定信息,它使用一種可配置的探測手段,並且把獲取到的信息發送到https://def.devnano.com。 “

根據進一步的分析,這段惡意代碼可以暴露收集的用戶信息,例如:

  • 用戶IP地址
  • 國家/地區
  • 操作系統詳情
  • 網站URLs
  • web請求的時間戳
  • HTTP方法(POST、GET、HEAD等等)
  • HTTP響應的大小
  • HTTP狀態碼
  • 每個web頁面上的時間消耗
  • 單個web頁面上的其他URLs點擊

此外,交易完成後,這個“土耳其的開發者團隊”並未修改插件的作者字段,依然保留了原始作者的名字。這種行為似乎是有意隱藏他們的真實意圖。

對用戶來說,受惡意插件感染的瀏覽器會自動對大量的Instagram帖子進行點贊,而無需用戶輸入。加州大學聖地亞哥分校的人工智能和機器學習研究員Cyril Gorlla稱,他的瀏覽器對來自一個Instagram賬戶上超過200張圖片進行點贊,但是這個賬戶卻無人關注。

據悉,並非只有Nano Adblocker和Nano Defender插件會篡改Instagram賬戶。 User Agent Switcher,這款擁有超100000活躍用戶的插件在被谷歌移除前也乾了相同的事。

許多用戶報告,受感染的瀏覽器還打開了未在瀏覽器中打開的賬戶。這讓人們猜測,更新後的插件正訪問身份驗證cookies,並利用它們來訪問用戶賬戶。

Hill表示,“添加的代碼能夠實時收集請求頭(我猜是通過websocket連接),這意味著敏感信息可能被洩露,比如session cookies。”

電子前哨基金會(EEE)一名資深技術人員Alexei稱,關鍵是Nano插件以一種遠程可配置的方式暗中上傳你的瀏覽器數據。遠程可配置方式意味著無需更新插件,即可修改數據被竊取的網站列表。實際上,由於遠程配置的網站列表目前尚不明確。然而,有許多報導稱用戶的Instagram帳戶受到影響。

在GitHub上被大量用戶“聲討”後,這個土耳其的開發者團隊創建了一個隱私政策頁面。不過,在這個頁面上,他們披露了數據收集行為,但試圖以一種誤導方式來合法化這段惡意代碼。

然而,對谷歌員工來說,事情變得更容易,因為谷歌Chrome應用商店規定,任何類型的大量數據收集行為都被禁止。

目前,這兩個插件已被被谷歌下線,並且在用戶的Chrome瀏覽器中不可用。截至撰寫本文時,筆者在Chrome應用商店已經無法搜到Nano Adblocker和Nano Defender這兩個插件。

而Firefox版本的Nano Adblocker和Nano Defender插件不包含惡意代碼,因為它們不屬於本次交易的一部分,並且由不同的開發者進行管理。