据ZDNet报道,因私自收集用户数据,谷歌从官方Chrome应用商店移除了两款ad blocker插件,它们包含恶意代码。
据悉,这两款插件分别名为Nano Adblocker和Nano Defender(它们常常被用户一起安装),由Hugo Xu开发。在过去一年多的时间,这两款插件总共有300000次的下载安装,其中,Nano Adblocker有超过50000次的下载安装,而Nano Defender则有超过200000次的安装。
值得注意的是,这两款插件最初的版本并不包含恶意代码。
10月3日,Nano Adblocker和Nano Defender插件的开发者Hugo Xu表示,因缺乏足够的时间维护插件,他决定将插件的Chrome应用商店所有权进行出售。
他在GitHub上发布了一则重要更新和免责声明:
位于谷歌Chrome应用商店的插件不再归我控制,我也不再对新开发者的行动负责。如果您对最近的变更感到担忧,请记住,您可以随时卸载此插件或寻找替代选项。 您可能注意到了,Nano Adblocker有数月时间未进行更新。很明显,我缺乏足够时间来进行维护。最初,这个项目没有任何积压的事情。随着该项目的发展,我添加了一个待办事项系统来更好的管理未解决的问题。不过,积压的事情后来变得越来越多,超出了我的承受能力。
因此,Hugo Xu将这两款插件卖给“一个土耳其的开发者团队”,但并未进一步透露交易的相关信息。此后,新的开发者在插件更新中加入了收集数据的代码。
在交易完成后,插件的用户之一Raymond Hill(uBlock Origin插件的作者)发现,这两款插件被修改了,里面包含恶意代码。
插件会把用户数据发送到未知名的服务器,这显然为用户带来了巨大的安全和隐私风险。
Hill说:“这两款插件如今被设计用来从你的outgoing 网络请求中查找特定信息,它使用一种可配置的探测手段,并且把获取到的信息发送到https://def.devnano.com。“
根据进一步的分析,这段恶意代码可以暴露收集的用户信息,例如:
此外,交易完成后,这个“土耳其的开发者团队”并未修改插件的作者字段,依然保留了原始作者的名字。这种行为似乎是有意隐藏他们的真实意图。
对用户来说,受恶意插件感染的浏览器会自动对大量的Instagram帖子进行点赞,而无需用户输入。加州大学圣地亚哥分校的人工智能和机器学习研究员Cyril Gorlla称,他的浏览器对来自一个Instagram账户上超过200张图片进行点赞,但是这个账户却无人关注。
据悉,并非只有Nano Adblocker和Nano Defender插件会篡改Instagram账户。User Agent Switcher,这款拥有超100000活跃用户的插件在被谷歌移除前也干了相同的事。
许多用户报告,受感染的浏览器还打开了未在浏览器中打开的账户。这让人们猜测,更新后的插件正访问身份验证cookies,并利用它们来访问用户账户。
Hill表示,“添加的代码能够实时收集请求头(我猜是通过websocket连接),这意味着敏感信息可能被泄露,比如session cookies。”
电子前哨基金会(EEE)一名资深技术人员Alexei称,关键是Nano插件以一种远程可配置的方式暗中上传你的浏览器数据。远程可配置方式意味着无需更新插件,即可修改数据被窃取的网站列表。实际上,由于远程配置的网站列表目前尚不明确。然而,有许多报道称用户的Instagram帐户受到影响。
在GitHub上被大量用户“声讨”后,这个土耳其的开发者团队创建了一个隐私政策页面。不过,在这个页面上,他们披露了数据收集行为,但试图以一种误导方式来合法化这段恶意代码。
然而,对谷歌员工来说,事情变得更容易,因为谷歌Chrome应用商店规定,任何类型的大量数据收集行为都被禁止。
目前,这两个插件已被被谷歌下线,并且在用户的Chrome浏览器中不可用。截至撰写本文时,笔者在Chrome应用商店已经无法搜到Nano Adblocker和Nano Defender这两个插件。
而Firefox版本的Nano Adblocker和Nano Defender插件不包含恶意代码,因为它们不属于本次交易的一部分,并且由不同的开发者进行管理。
领取专属 10元无门槛券
私享最新 技术干货