瀏覽器擴充功能已成為駭客攻擊的新手法
資訊安全 》瀏覽器擴充功能已成為駭客攻擊的新手法!|天矽網頁設計
雖然在開發網站時,可以使用瀏覽器擴充功能來提升開發的效率、增強使用者體驗,但近期有資安專家發現:瀏覽器擴充功能已成為駭客攻擊的新手法,更有多款的Chrome擴充套件遭到攻擊,這些攻擊使駭客可以竊取使用者的帳號、密碼。專家指出,這些套件已被下載了超過229萬次,並呼籲開發者們應盡快審視擴充功能套件、或進行密碼變更。
➤ 擴充功能可以存取的資訊有哪些?
瀏覽器擴充功能是許多企業會使用的工具之一,常見的擴充功能可以攔截廣告、提供隱私保護、拼字檢查或密碼管理等。不過,使用擴充功能大多需要允許存取權限,例如:安裝擴充功能時,系統會自動跳出是否允許權限且要求同意,因此,擴充功能可以存取的資訊包含以下:
- Cookie:可存取或修改使用者的Cookie
- 身分資料、瀏覽紀錄:可存取使用者的個人資料、網站瀏覽歷史紀錄
- 瀏覽資料:可查看使用者正在瀏覽的網址(URL)
- 密碼:可以訪問或存取使用者儲存在瀏覽器的密碼
- 網頁內容:可存取所有分頁的網頁資料
▲擴充功能可以存取的資訊
➤ 駭客如何利用擴充功能發動網路攻擊?
當擴充功能可以存取的資料遭到攻擊或惡意使用時,就會導致資安漏洞。近期就有發現國外開發團隊收到了可疑電子郵件,該封郵件稱自己為Google,進而向開發團隊指出公司使用的擴充功能套件,違反metadata使用規定,將撤銷使用。
但當開發團隊點擊”查看政策”,頁面卻導向為”第三方應用程式的授取權限”,駭客得到存取權限時,立即上傳經修改後的 Chrome 擴充套件,這個經修改後的擴充套件,可以竊取Facebook存取權,並安裝了「滑鼠點擊監聽器」。
※備註:滑鼠點擊監聽器是一種「監控滑鼠點擊事件」的程式,主要可以竊取使用者資料、進行網站點擊劫持。
▲駭客如何利用瀏覽器擴充功能發動網路攻擊
➤ 如何防範?
瀏覽器擴充功能雖然提供方便的功能、提升開發效率,但企業需時常保持警覺性,當擴充套件遭駭客惡意攻擊時,會造成的資安漏洞包含有:憑證竊取、帳號密碼盜用、連線劫持或資料的竊取,因此,企業若安裝擴充功能時,可參考以下風險管理建議:
- 選擇可以信任的擴充功能:使用官方的擴充功能,例如:Chrome Web Store。
- 檢查擴充功能允許的權限:檢查該擴充功能允許的權限有哪些,或只給予擴充功能最小權限範圍。
- 定期檢查或更新擴充功能:安裝可及時更新的擴充套件或管理更新紀錄,掌握每次更新的內容是否為正常。
- 移除已無使用的擴充套件:如果有擴充套件已長期不使用或不再更新,建議可直接移除。
參考資料
✔ 25款Chrome延伸套件遭遇供應鏈攻擊而成為駭客幫兇
✔ 惡意瀏覽器擴充功能 / 捕夢網
✔ Chrome 擴充程式遭駭事件突顯軟體供應鏈安全的重要性
