极客观点
项目管理
HarmonyOS
Chrome 扩展数据泄露事件总结
事件概述
在2024年底的假期期间,研究人员发现Google Chrome Web Store中至少33个浏览器扩展程序在未经用户同意的情况下窃取了约260万设备的敏感数据。这些扩展程序中的一些已经存在长达18个月。
关键发现
Cyberhaven扩展事件:
- 受影响用户:40万
- 恶意版本:24.10.4
- 活跃时间:2024年12月25日1:32 UTC至12月26日2:50 UTC
- 恶意代码来源:cyberhavenext[.]pro,一个伪装成与Cyberhaven相关的恶意网站
- 窃取数据:浏览器cookie和facebook.com的认证凭证
攻击手段:
- 钓鱼邮件:攻击者通过钓鱼邮件获取了Cyberhaven扩展开发者的Google OAuth权限,从而上传了恶意版本。
- OAuth权限:攻击者通过名为“Privacy Policy Extension”的OAuth应用获取了上传扩展的权限。
其他受影响扩展:
- 受影响扩展数量:至少19个
- 总下载量:146万
- 最早攻击时间:2024年5月
Reader Mode扩展:
- 受影响用户:30万
- 攻击时间:最早可追溯至2023年4月
- 攻击手段:通过一个用于扩展程序货币化的代码库窃取数据
受影响扩展列表
以下是部分受影响扩展的详细信息:
| 名称 | ID | 版本 | 补丁 | 用户数 | 开始时间 | 结束时间 | |
|---|---|---|---|---|---|---|---|
| VPNCity | nnpnnpemnckcfdebeekibpiijlicmpom | 2.0.1 | FALSE | 10,000 | 12/12/24 | 12/31/24 | |
| Parrot Talks | kkodiihpgodmdankclfibbiphjkfdenh | 1.16.2 | TRUE | 40,000 | 12/25/24 | 12/31/24 | |
| Uvoice | oaikpkmjciadfpddlpjjdapglcihgdle | 1.0.12 | TRUE | 40,000 | 12/26/24 | 12/31/24 | |
| Internxt VPN | dpggmcodlahmljkhlmpgpdcffdaoccni | 1.1.1 | 1.2.0 | TRUE | 10,000 | 12/25/24 | 12/29/24 |
| Bookmark Favicon Changer | acmfnomgphggonodopogfbmkneepfgnh | 4.00 | TRUE | 40,000 | 12/25/24 | 12/31/24 |
安全建议
- 更改密码:任何使用过受影响扩展的用户应立即更改相关账户的密码和认证凭证。
- 浏览器扩展管理:组织应制定浏览器资产管理列表,仅允许运行经过审核的扩展,并阻止其他扩展。
- 安全意识:企业应重新评估其安全策略,特别是对浏览器扩展的管理和监控。
结论
此次事件揭示了浏览器扩展在安全链中的脆弱性,强调了加强扩展管理和监控的重要性。用户和组织应提高警惕,采取必要措施防止类似事件再次发生。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。