据报道,Secure Annex研究员John Tuckner发现了一组57个Chrome扩展,这些扩展具有非常高风险的功能,如监控浏览行为、访问域的Cookies,并可能执行远程脚本。
这些扩展是“隐藏”的,即它们不会出现在Chrome网上应用店搜索结果中,也不会被搜索引擎索引,只有用户通过直接URL才能安装。通常,此类扩展是私有软件,如公司内部工具或仍在开发中的插件。但威胁行为者可能利用这些扩展逃避检测,同时通过广告和恶意网站积极推广它们。
Tuckner发现的第一个可疑扩展名为“Fire Shield Extension Protection”,它被严重混淆,并包含回调到一个API以发送从浏览器收集的信息。通过该扩展中的域名“unknow.com”,Tuckner发现了其他包含相同域名的扩展,这些扩展声称提供广告拦截或隐私保护服务。然而,这些扩展都拥有过于广泛的权限,允许它们执行包括访问Cookies、监控用户浏览行为、修改搜索提供商和结果、通过iframe在访问页面上注入和执行远程脚本等操作。
Tuckner表示,这些扩展尽管没有被发现窃取用户密码或Cookies,但其过度的风险功能、严重的代码混淆和隐藏的逻辑足以将其标记为高风险,甚至可能是间谍软件。