文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

恶意扩展程序滥用 Chrome Sync 窃取用户数据

2024-12-03 11:57

关注

绕过 Chrome Web Store 安全检查

尽管恶意 Chrome 扩展程序数不胜数,但 Google 每年都会审核 Chrome Web Store,并将恶意扩展从商店中删除,但此次发现的恶意扩展由于部署方式的不同,因此十分特别。

攻击者的恶意扩展被伪装为 Windows 的 Forcepoint Endpoint Chrome 扩展,并在启用开发者模式后直接从 Chrome 安装(绕过 Chrome Web Store 安装通道)。

安装后,该扩展程序会删除一个后台脚本,该脚本旨在检查 Chrome 存储中的 oauth_token 密钥,然后将其自动同步到用户的 Google 云存储中。

要访问已同步的敏感数据,攻击者只需在运行 Chrome 浏览器的另一个系统上登录同一 Google 帐户(现在不允许第三方基于 Chromium 的浏览器使用私有的 Google Chrome Sync API)。这将使攻击者通过滥用 Google 的基础架构与受害者的 Chrome 浏览器进行通信 。

尽管 Google 在数据大小和请求数量上有一些限制,但这实际上非常适合C&C命令(通常数据量很小)或窃取较小但敏感的数据(例如身份验证令牌)。

该扩展程序将攻击重点放在操纵 Web 应用程序数据上,并未试图将其恶意活动扩展到 Chrome 基础系统。对于这种行为,安全顾问 Bojan Zdrnja 解释道:“尽管他们还想进一步扩展访问权限,但实际上他们只将恶意扩展的活动限制为与 Web 应用程序有关的活动。因为现在几乎所有内容都可以通过Web 应用程序进行管理,无论是内部 CRM、文档管理系统、访问权限管理系统还是其他。这也能解释为什么他们只开发了恶意的 Chrome 扩展程序,而没开发任何其他形式的恶意软件。”

对于已经受到影响的用户,要通过网络阻止恶意扩展泄露数据的话,同样也会阻止 Google 用于各种合法目的的服务器通信(例如 client4.google.com),因此这不是防御类似攻击的正确方法。

为了阻止攻击者滥用 Google Chrome 浏览器的 Sync API 来从公司环境中收集和泄露数据,建议使用组策略来创建允许的 Chrome 扩展程序列表,并阻止所有未进行检查的其他程序。

本文转自OSCHINA

本文恶意扩展程序滥用 Chrome Sync 窃取用户数据

本文地址:https://www.oschina.net/news/129289/malicious-extension-abuses-chrome-sync-to-steal-users-data

来源:开源中国内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯