首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

这两款超过30万次下载的Chrome插件“有毒”,建议立即删除

据ZDNet报道,因私自收集用户数据,谷歌从官方Chrome应用商店移除了两款ad blocker插件,它们包含恶意代码。

据悉,这两款插件分别名为Nano AdblockerNano Defender(它们常常被用户一起安装),由Hugo Xu开发。在过去一年多的时间,这两款插件总共有300000次的下载安装,其中,Nano Adblocker有超过50000次的下载安装,而Nano Defender则有超过200000次的安装。

值得注意的是,这两款插件最初的版本并不包含恶意代码。

10月3日,Nano Adblocker和Nano Defender插件的开发者Hugo Xu表示,因缺乏足够的时间维护插件,他决定将插件的Chrome应用商店所有权进行出售

他在GitHub上发布了一则重要更新和免责声明:

位于谷歌Chrome应用商店的插件不再归我控制,我也不再对新开发者的行动负责。如果您对最近的变更感到担忧,请记住,您可以随时卸载此插件或寻找替代选项。 您可能注意到了,Nano Adblocker有数月时间未进行更新。很明显,我缺乏足够时间来进行维护。最初,这个项目没有任何积压的事情。随着该项目的发展,我添加了一个待办事项系统来更好的管理未解决的问题。不过,积压的事情后来变得越来越多,超出了我的承受能力。

因此,Hugo Xu将这两款插件卖给“一个土耳其的开发者团队”,但并未进一步透露交易的相关信息。此后,新的开发者在插件更新中加入了收集数据的代码。

在交易完成后,插件的用户之一Raymond Hill(uBlock Origin插件的作者)发现,这两款插件被修改了,里面包含恶意代码。

插件会把用户数据发送到未知名的服务器,这显然为用户带来了巨大的安全和隐私风险。

Hill:“这两款插件如今被设计用来从你的outgoing 网络请求中查找特定信息,它使用一种可配置的探测手段,并且把获取到的信息发送到https://def.devnano.com。“

根据进一步的分析,这段恶意代码可以暴露收集的用户信息,例如:

  • 用户IP地址
  • 国家/地区
  • 操作系统详情
  • 网站URLs
  • web请求的时间戳
  • HTTP方法(POST、GET、HEAD等等)
  • HTTP响应的大小
  • HTTP状态码
  • 每个web页面上的时间消耗
  • 单个web页面上的其他URLs点击

此外,交易完成后,这个“土耳其的开发者团队”并未修改插件的作者字段,依然保留了原始作者的名字。这种行为似乎是有意隐藏他们的真实意图。

对用户来说,受恶意插件感染的浏览器会自动对大量的Instagram帖子进行点赞,而无需用户输入。加州大学圣地亚哥分校的人工智能和机器学习研究员Cyril Gorlla称,他的浏览器对来自一个Instagram账户上超过200张图片进行点赞,但是这个账户却无人关注。

据悉,并非只有Nano Adblocker和Nano Defender插件会篡改Instagram账户。User Agent Switcher,这款拥有超100000活跃用户的插件在被谷歌移除前也干了相同的事。

许多用户报告,受感染的浏览器还打开了未在浏览器中打开的账户。这让人们猜测,更新后的插件正访问身份验证cookies,并利用它们来访问用户账户。

Hill表示,“添加的代码能够实时收集请求头(我猜是通过websocket连接),这意味着敏感信息可能被泄露,比如session cookies。”

电子前哨基金会(EEE)一名资深技术人员Alexei称,关键是Nano插件以一种远程可配置的方式暗中上传你的浏览器数据。远程可配置方式意味着无需更新插件,即可修改数据被窃取的网站列表。实际上,由于远程配置的网站列表目前尚不明确。然而,有许多报道称用户的Instagram帐户受到影响。

在GitHub上被大量用户“声讨”后,这个土耳其的开发者团队创建了一个隐私政策页面。不过,在这个页面上,他们披露了数据收集行为,但试图以一种误导方式来合法化这段恶意代码。

然而,对谷歌员工来说,事情变得更容易,因为谷歌Chrome应用商店规定,任何类型的大量数据收集行为都被禁止。

目前,这两个插件已被被谷歌下线,并且在用户的Chrome浏览器中不可用。截至撰写本文时,笔者在Chrome应用商店已经无法搜到Nano Adblocker和Nano Defender这两个插件。

而Firefox版本的Nano Adblocker和Nano Defender插件不包含恶意代码,因为它们不属于本次交易的一部分,并且由不同的开发者进行管理。

  • 发表于:
  • 本文为 InfoQ 中文站特供稿件
  • 首发地址https://www.infoq.cn/article/dJZM31XCjH3A4rYj8Y7s
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券