安装300,000次的广告拦截程序是恶意的,应该立即删除

2020-10-21 02:04:11

根据技术分析和Github上的帖子,拥有30多万活跃用户的广告拦截扩展一直在秘密上传用户浏览数据,并篡改用户的社交媒体账户,这要归功于其新所有者几周前推出的恶意软件。

Nano广告拦截器和Nano Defender扩展的开发者Hugo Xu在17天前表示,他不再有时间维护该项目,并已出售了谷歌Chrome网络商店提供的版本的版权。徐告诉我,Nano广告拦截器和Nano Defender经常一起安装,总共安装了大约30万次。

四天前,Nano广告阻止程序所基于的uBlock Origin扩展的制造商Raymond Hill透露,新的开发者已经推出了添加恶意代码的更新。

Hill注意到新扩展做的第一件事就是检查用户是否打开了开发人员控制台。如果它已打开,扩展程序会将标题为Report&34;的文件发送到位于https://def.dev-nano.com/.的服务器。他写道:“简单地说,这个扩展会远程检查你是否在使用扩展开发工具--如果你想知道这个扩展在做什么,你就会这么做。”

最终用户注意到的最明显的变化是,受感染的浏览器在没有用户输入的情况下,自动为大量Instagram帖子点赞。与我交谈过的一位用户说,他的浏览器喜欢一个没有关注任何人的Instagram账户上的200多张图片。右边的屏幕截图显示了一些涉及的照片。

据报道,纳米广告拦截器和Nano Defendera并不是唯一两个篡改Instagram账户的扩展。据报道,在谷歌本月早些时候将其删除之前,一个拥有超过10万活跃用户的扩展User Agent Switcher也做了同样的事情。

这个论坛中的许多Nano扩展用户报告说,他们受感染的浏览器也在访问他们的浏览器中尚未打开的用户帐户。这导致人们猜测更新后的扩展正在访问身份验证cookie,并使用它们来访问用户帐户。希尔说,他检查了一些添加的代码,发现它正在上传数据。

他在一条消息中写道:“由于添加的代码能够实时(我猜是通过WebSocket连接)收集请求头,这意味着会话cookie等敏感信息可能会被泄露。”“我不是恶意软件专家,所以我想不出实时访问请求头时可能做到的*所有*,但我确实知道这真的很糟糕。”

其他用户报告称,Instagram以外的网站也被访问和篡改,在某些情况下,甚至在用户没有访问该网站的情况下也是如此,但这些说法无法立即得到证实。

电子前沿基金会(Electronic Frontier Foundation)高级职员技术专家阿列克谢(Alexei)从事Privacy Badger Extension的工作,他一直在跟踪讨论,并向我提供了以下概要:

要点是Nano扩展进行了更新,以远程可配置的方式秘密上传您的浏览数据。可远程配置意味着不需要更新扩展来修改其数据将被盗的网站列表。事实上,网站列表目前是未知的,因为它是远程配置的。然而,有很多报告称用户的Instagram账户受到了影响。

到目前为止收集到的证据显示,这些扩展正在秘密上传用户数据,并获得对至少一个网站的未经授权的访问,这违反了谷歌的服务条款,而且很可能违反了适用的法律。谷歌已经将这些扩展从Chrome网络商店中移除,并发布警告称它们不安全。任何安装了这两个扩展之一的人都应该立即从他们的计算机上删除它们。