McAfee 的威脅分析師發(fā)現(xiàn)了五個(gè)可以竊取用戶網(wǎng)絡(luò)活動(dòng)信息的 Google Chrome 擴(kuò)展程序。在被 Google 從 Chrome Web Store 移除之前，其總下載量已超 140 萬(wàn)次。

這些擴(kuò)展提供了各種功能，例如使用戶能夠一起觀看 Netflix 節(jié)目、追蹤一些網(wǎng)站優(yōu)惠券以及進(jìn)行頁(yè)面截圖。但除了提供上述功能外，它們還會(huì)追蹤用戶的網(wǎng)絡(luò)活動(dòng)，用戶的每一個(gè)網(wǎng)站訪問(wèn)信息都會(huì)被發(fā)送到擴(kuò)展程序創(chuàng)建者擁有的服務(wù)器上。此舉是為了在被訪問(wèn)的電子商務(wù)網(wǎng)站中插入代碼，修改了網(wǎng)站的 cookie，以便擴(kuò)展程序作者可以收到任何用戶購(gòu)買物品的附屬付款。

而擴(kuò)展程序的用戶并不知道此功能的存在，也不知道被訪問(wèn)的每個(gè)網(wǎng)站被發(fā)送到擴(kuò)展程序作者的服務(wù)器上的隱私風(fēng)險(xiǎn)。所發(fā)現(xiàn)的五個(gè)惡意擴(kuò)展具體如下：

• Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800,000 次下載
• Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300,000 次下載
• Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200,000 次下載
• FlipShope – Price Tracker Extension (adikhbfjdbjkhelbdnffogkobkekkkej) – 80,000 次下載
• AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20,000 次下載

根據(jù)介紹，所有 5 個(gè)擴(kuò)展都執(zhí)行了類似的行為。Web 應(yīng)用程序清單（“manifest.json” 文件）規(guī)定了擴(kuò)展程序在系統(tǒng)中的行為方式，加載了一個(gè)多功能腳本（B0.js），將瀏覽數(shù)據(jù)發(fā)送到攻擊者控制的域（"langhort [.com"）。

每次用戶訪問(wèn)新 URL 時(shí)，數(shù)據(jù)都會(huì)通過(guò) POST 請(qǐng)求傳遞。到達(dá)欺詐者的信息包括 base64 格式的 URL、用戶 ID、設(shè)備位置（國(guó)家、城市、郵政編碼）和一個(gè) encoded referral URL。

如果被訪問(wèn)的網(wǎng)站與擴(kuò)展作者有活動(dòng)關(guān)系的網(wǎng)站列表中的任何條目相匹配，則服務(wù)器會(huì)使用兩種可能的功能之一來(lái)響應(yīng) B0.js。

• “Result ['c'] – passf_url”，命令腳本將提供的 URL（引用鏈接）作為 iframe 插入訪問(wèn)的網(wǎng)站。
• “Result ['e'] setCookie”，命令 B0.js 修改 cookie，或者如果擴(kuò)展已被授予執(zhí)行此操作的相關(guān)權(quán)限，則用所提供的 cookie 替換它。

值得注意的是，為了逃避檢測(cè)、分析并迷惑研究人員或警惕的用戶，一些擴(kuò)展程序在執(zhí)行任何惡意活動(dòng)之前包含一個(gè)時(shí)間檢查，會(huì)將其安裝時(shí)間延遲 15 天。

? ?