标注的博客| 安全研究| 渗透测试| APT

首页

超过37000 chrome 用户安装假的adblock plus 插件

作者 boch 时间 2020-03-27
all

谷歌已经从其Chrome网络商店中删除了一个恶意扩展,该扩展伪装成流行的AdBlock Plus广告屏蔽程序,但强行打开了新的标签向用户显示广告。

由一位化名为SwiftOnSecurity的安全研究人员发现,这个扩展名[1,2]在昨晚被取走时有超过37000名用户。

不完全是谷歌的错

正如这名研究人员在针对谷歌员工的Twitter长篇大论中指出的那样,问题是谷歌允许另一个开发者将同名的扩展上传到另一个开发者。

这位专家说:“谷歌允许3.7万名Chrome用户被(一个)冒牌开发人员利用一个伪造的扩展名进行欺骗,该开发人员克隆了流行名称和spam关键字。”合法的开发者只需坐在一旁,看着谷歌用假冒的扩展来抹黑他们,盗取他们的好名声。”

用户本可以根据欺诈性开发人员在扩展描述中添加的大量不相关的键盘发现伪造的扩展。这些热门关键字允许伪扩展在不相关的搜索查询中弹出。

此外,如果用户检查了扩展的评论标签,他们也可以避免灾难,因为大多数用户谴责扩展的滥用标签打开行为。

2015年以前发生过

这并不是谷歌第一次允许在其Chrome网店上使用假冒的、恶意软件的AdBlock Plus扩展。两年前的2015也发生了类似的事情。那个分机也被发现在传送广告软件。

这样的情况之所以会发生,是因为在Chrome网上商店上传扩展的过程是自动化的,而Google员工只会干预以下情况。这个自动化的过程使得谷歌能够建立自己的Web商店,它已经超越了Mozilla的插件库,成为所有浏览器中最大的浏览器扩展门户。

对于这种特殊情况,扩展的开发人员可能使用了不同于原始AdBlock Plus扩展所使用的ID,并且可能使用扩展ID中的西里尔字符来绕过Google的Web Store检查,获得了一个homograph攻击的advange。