近日,加密社群用戶因下載惡意 Chrome 擴充 Aggr 遭受重大財產損失,引發了廣泛關注。為了幫助用戶更好地瞭解瀏覽器擴充的風險並提高自身安全防護能力,慢霧安全團隊 23pds 詳細解析了這一惡意擴充的作惡方式,並提供了實用的安全建議。
(詳細原文請見:慢霧:Chrome 惡意擴充盜取百萬美金解惑)
內容目錄
社群警告引發關注
2024 年 6 月 3 日,推特用戶 @CryptoNakamao 發文,講述其因下載惡意 Chrome 擴充 Aggr 導致 100 萬美金被盜的經歷。這一事件迅速在加密社群引發廣泛討論,用戶紛紛表達對擴充風險和自己加密資產安全的擔憂。
(Google 擴充軟體惹禍!幣安帳戶消失的一百萬美元,何一坐鎮也難追回)
慢霧安全團隊的分析
早在 5 月 31 日,慢霧安全團隊便發佈了關於 Aggr 擴充的詳細分析報告,揭示了其作惡方式。本文通過六問六答,幫助用戶瞭解 Chrome 擴充的基礎知識和潛在風險,並提供應對建議。
1. 什麼是 Chrome 擴充功能?
Chrome 擴充功能是為 Google 瀏覽器設計的插件,能夠擴充瀏覽器的功能和行為。它們通常由 HTML、CSS、JavaScript 等網頁技術構建,主要部分包括:
– manifest.json:擴充的配置文件,定義基本資訊。
– 背景腳本:處理後台任務。
– 內容腳本:與網頁交互。
– 用戶界面:如工具欄按鈕、彈出窗口等。
2. Chrome 擴充功能有什麼作用?
Chrome 擴充功能具有多種用途,包括:
– 廣告攔截:提高網頁加載速度和用戶體驗,如 AdBlock。
– 隱私和安全:增強用戶隱私和安全性,如 Privacy Badger。
– 生產力工具:提高工作效率,如 Todoist。
– 開發者工具:提供調試和開發工具,如 React Developer Tools。
– 社交媒體和通訊:方便處理社交媒體通知,如 Grammarly。
– 網頁定制:自定義網頁外觀和行為,如 Stylish。
– 自動化任務:幫助自動化重復性任務,如 iMacros。
– 語言翻譯:實時翻譯網頁內容,如 Google 翻譯。
– 加密貨幣輔助:方便加密貨幣交易,如 MetaMask。
3. Chrome 擴充功能安裝後有哪些權限?
Chrome 擴充可能請求以下權限:
– <all_urls>:訪問所有網站內容。
– tabs:訪問瀏覽器標籤資訊。
– activeTab:暫時訪問當前激活的標籤。
– storage:使用 Chrome 的存儲 API。
– cookies:訪問和修改瀏覽器中的 cookies。
– webRequest:攔截和修改網路請求。
– bookmarks:訪問和修改瀏覽器書簽。
– history:訪問和修改瀏覽器歷史記錄。
– notifications:顯示桌面通知。
– contextMenus:添加自定義菜單項。
– geolocation:訪問用戶地理位置資訊。
– clipboardRead 和 clipboardWrite:讀取和寫入剪貼板內容。
– downloads:管理下載。
– management:管理其他擴充和應用程序。
– background:後台運行任務。
– webNavigation:監控和修改瀏覽器導航行為。
這些權限雖然能提供強大功能,但也可能訪問用戶的敏感數據。
4. 為什麼惡意的 Chrome 擴充可以盜取用戶權限?
惡意擴充利用所請求的權限盜取用戶資訊和認證數據,其具體方式包括:
– 請求廣泛權限:如訪問所有網站、讀取和修改標籤、訪問存儲等。
– 操作網路請求:攔截和修改網路請求,竊取認證資訊。
– 讀取和寫入頁面內容:通過嵌入代碼讀取和修改頁面數據。
– 訪問瀏覽器存儲:存取包含敏感資訊的本地數據。
– 操作剪貼板:讀取和篡改用戶複製粘貼的資訊。
– 偽裝合法網站:誘導用戶輸入敏感資訊。
– 長期後台運行:持續監控用戶活動,收集數據。
– 操作下載:下載和執行惡意文件,威脅系統安全。
5. 惡意擴充如何盜取用戶權限和資金?
惡意擴充 Aggr 利用了廣泛的權限(如 cookies、tabs、<all_urls>、storage),通過以下方式盜取用戶權限和資金:
– 模擬用戶登錄交易平台帳戶。
– 未經同意進行交易和資金轉移。
– 訪問和收集敏感資訊。
– 更改帳戶設置,控制用戶帳戶。
– 進行社會工程攻擊,進一步獲取敏感資訊。
6. 惡意擴充盜取 cookies 後能做什麼?
惡意擴充可以利用盜取的 cookies 執行以下操作:
– 訪問帳戶資訊。
– 進行未經授權的交易。
– 繞過二次驗證,提取資金。
– 訪問和收集敏感資訊。
– 修改帳戶設置。
– 冒充用戶進行社會工程攻擊。
應對措施
個人用戶的應對措施
– 增強個人安全意識:保持懷疑態度。
– 僅安裝可信來源的擴充:閱讀用戶評價和權限請求。
– 使用安全的瀏覽器環境:避免安裝不明來源的擴充。
– 定期檢查帳戶活動:發現可疑行為立即採取措施。
– 使用硬件錢包:存儲大額資產。
– 瀏覽器設置和安全工具:減少惡意擴充風險。
– 使用安全軟件:檢測和防止惡意軟件。
平台的風控建議
– 強制使用二次驗證(2FA):確保用戶帳戶安全。
– 會話管理和安全:管理已登錄設備,實施會話超時策略。
– 強化帳戶安全設置:發送安全通知,提供帳戶凍結功能。
– 加強監控和風控系統:監控用戶行為,識別異常交易。
– 為用戶提供安全教育和工具:普及安全知識,提供官方安全工具。
安全與業務需要平衡,平台在保護用戶帳戶和資產安全的同時,也要考慮用戶體驗。慢霧安全團隊建議用戶在安裝軟件、插件前,先問自己是否安全,避免故事變成事故。更多安全知識請閱讀慢霧出品的《區塊鏈黑暗森林自救手冊》。
