大家的瀏覽器都會安裝一些擴充功能(插件)方便工作、學習和娛樂,例如 Emoji 鍵盤、下載影片、擷取網頁顏色資料等。而為了保障安全 Google 和 Microsoft 等在插件網上商店都會加入一些機制來審核、評價擴充功能,用戶選擇這些推出多年得到好評的擴充功能都會感到安心。不過最近有網絡保安機構就發表網誌,指發現 18 款多年來提供正常實用功能甚至獲得好評的 Chrome 和 Edge 擴充功能突然在更新後「黑化」,被植入惡意軟件,超過 230 萬用戶受害。
網絡保安機構 Koi Security 將這次跨平台瀏覽器騎劫行動稱為「Red Direction」,指出當中一款 Chrome 擴充功能《Color Picker, Eyedropper — Geco colorpick》色彩選擇器多年來得到 800 多用戶評價,還得到 Chrome Web Store 精選徽章,一直提供切實的色彩選擇功能。不過在一次更新後,這擴充功能就加入了惡意功能騎劫瀏覽器,追蹤用戶瀏覽過的網頁,並且開設後門接收控制指令。惡意程式會將用戶所瀏覽的網頁網址傳送到遠端伺服器,並會為用戶編配一個追蹤 ID,惡意伺服器有可能會傳回一個重導向網址給用戶瀏覽器,從而將用戶引導到惡意網站。
其後 Koi Security 分析《Color Picker》的控制架構,追蹤到 18 款擴充功能擁有相似的程式碼模式的擴充功能利用這種複雜的手法來騎劫用戶瀏覽器,由於 Chrome 和 Edge 對擴充功能的更新機制很寬鬆,擴充功能都是靜悄悄在幕後更新,用戶根本毫不察覺,Koi Security 表示兩款瀏覽器合計有超過 230 萬用戶已中招。
這 18 款擴充功能涵蓋天氣資訊、娛樂、社交平台和實用工具,現時已經無法在 Chrome Web Store 存取得到:
Chrome:
- Emoji keyboard online — copy&past your emoji.
- Free Weather Forecast
- Video Speed Controller — Video manager
- Unlock Discord — VPN Proxy to Unblock Discord Anywhere
- Dark Theme — Dark Reader for Chrome
- Volume Max — Ultimate Sound Booster
- Unblock TikTok — Seamless Access with One-Click Proxy
- Unlock YouTube VPN
- Color Picker, Eyedropper — Geco colorpick
- Weather
Microsoft Edge:
- Unlock TikTok
- Volume Booster — Increase your sound
- Web Sound Equalizer
- Header Value
- Flash Player — games emulator
- Youtube Unblocked
- SearchGPT — ChatGPT for Search Engine
- Unlock Discord
Koi Security 呼籲安裝了上述惡意擴充功能的用戶採取以下行動:
- 立即從 Chrome 和 Edge 移除所有受影響擴充功能;
- 清除瀏覽器所有紀錄,以清除所有儲存在瀏覽器的追蹤 ID;
- 使用網絡安全軟件掃描整部電腦,以找出潛伏的惡意軟件;
- 監察你的網上帳戶,看看有沒有可疑活動;
- 重新檢視所有安裝在瀏覽器的擴充功能,如果沒用就應該移除,以免將來更新可能會「黑化」
