你可能会认为,从谷歌官方应用商店下载的Chrome扩展程序应该安全可靠——但浏览器安全平台Secure Annex创始人揭露,他发现的35个总安装量达400万次的扩展程序“均包含某种间谍软件或信息窃取程序”。这些被指控的扩展程序存在诸多共同点:采用相似的代码结构、连接相同的服务器集群、申请相同的系统权限(据Ars Technica报道)。网络安全公司Secure Annex创始人约翰·塔克纳还发现,这些扩展使用了刻意混淆的代码来掩盖真实行为。
“这些扩展存在强关联性,大多宣称具有广告拦截、扩展保护、优化搜索结果或隐私保护功能,这可能是它们能长期存活在应用商店的原因。”塔克纳指出,“虽然功能宣称各异,但实现相关功能的代码要么极其简陋,要么完全缺失。”
以“Fire Shield Extension Protection”为例,实验室设备运行该扩展后仅显示空白网页,点击选项菜单毫无反应。Chrome开发者工具显示,该扩展会连接特定URL并触发通用“browser_action_clicked”响应,但再无其他动作。
通过GitHub发现的唯一扩展ID,塔克纳观察到Fire Shield会向服务器发送多种事件数据,包括用户当前访问网站、历史浏览记录及屏幕尺寸等信息。“虽然未发现该扩展直接窃取凭证,但其代码混淆程度、远程配置控制能力及内置功能特性,已足够支持我的结论——所有这些扩展都包含间谍软件或信息窃取组件。”塔克纳强调。
这些扩展还存在令人不安的共性:35个扩展使用高度相似的命名规范,其中34个在后台服务列表中引用了神秘的“unknow.com”域名。更令人震惊的是,除一个扩展外,其余均未公开上架(必须通过直链访问商店页面),但其中10个竟被谷歌标注为“精选推荐”。
“为何普通用户无法搜索到的扩展会被谷歌选为‘精选’?这完全违背常理。”塔克纳质疑道,“任何普通用户都会将此标签视为官方认证的安全标识。‘精选’与‘不可搜索’这两个属性根本不该共存。”
完整嫌疑扩展列表可参阅Ars Technica文末附录。值得注意的是,这些扩展多采用“无痕护盾”、“隐私卫士”、“全面安全”等具有迷惑性的名称。如果你正在使用类似安全防护类Chrome扩展,建议立即核查是否“引狼入室”。
