【安全资讯】发现600万用户的Chrome扩展程序隐藏跟踪代码

概要：

近期，安全研究人员发现一组57个Chrome扩展程序，拥有600万用户，具备极高的风险能力，包括监控浏览行为、访问域名的Cookies以及潜在地执行远程脚本。这些扩展程序被称为“隐藏”，无法通过Chrome Web Store搜索到，用户只能通过直接链接安装，可能被恶意行为者利用以规避检测。

主要内容：

这些扩展程序由Secure Annex的研究员John Tuckner发现，他在分析一款名为“Fire Shield Extension Protection”的可疑扩展时，首次揭露了35个扩展的风险。该扩展的代码经过高度混淆，包含回调API以发送浏览器收集的信息。通过扩展中包含的“unknow.com”域名，Tuckner发现了更多声称提供广告拦截或隐私保护服务的扩展。

这些扩展程序的权限过于宽泛，允许执行以下操作：访问Cookies（包括敏感头信息）、监控用户浏览行为、修改搜索提供者及结果、通过iframe注入和执行远程脚本、远程激活高级跟踪功能。尽管Tuckner没有发现任何扩展窃取用户密码或Cookies，但其过于风险的能力和隐藏逻辑使其被标记为潜在间谍软件。

Tuckner指出，其他功能中的混淆信号表明存在显著的指挥和控制潜力，例如列出访问的热门网站、打开/关闭标签页等。随着对这些扩展的调查，Google已开始移除部分扩展，但仍有一些在Chrome Web Store上保留。研究人员建议用户立即卸载这些扩展，并出于谨慎考虑，重置在线账户密码。