恶意扩展程序滥用 Chrome Sync 窃取用户数据

安全
安全顾问 Bojan Zdrnja 近日发现,Google Chrome Sync 功能可以被滥用,使用恶意制作的 Chrome 浏览器扩展程序即可从受影响的计算机中收集信息,并将窃取的数据传送至攻击者的服务器中。

Chrome Sync 是一种浏览器功能,旨在在用户使用 Google 帐户登录后自动同步其书签、历史记录、密码和其他设置。安全顾问 Bojan Zdrnja 近日发现,Google Chrome Sync 功能可以被滥用,使用恶意制作的 Chrome 浏览器扩展程序即可从受影响的计算机中收集信息,并将窃取的数据传送至攻击者的服务器中。

绕过 Chrome Web Store 安全检查

尽管恶意 Chrome 扩展程序数不胜数,但 Google 每年都会审核 Chrome Web Store,并将恶意扩展从商店中删除,但此次发现的恶意扩展由于部署方式的不同,因此十分特别。

攻击者的恶意扩展被伪装为 Windows 的 Forcepoint Endpoint Chrome 扩展,并在启用开发者模式后直接从 Chrome 安装(绕过 Chrome Web Store 安装通道)。

安装后,该扩展程序会删除一个后台脚本,该脚本旨在检查 Chrome 存储中的 oauth_token 密钥,然后将其自动同步到用户的 Google 云存储中。

要访问已同步的敏感数据,攻击者只需在运行 Chrome 浏览器的另一个系统上登录同一 Google 帐户(现在不允许第三方基于 Chromium 的浏览器使用私有的 Google Chrome Sync API)。这将使攻击者通过滥用 Google 的基础架构与受害者的 Chrome 浏览器进行通信 。

尽管 Google 在数据大小和请求数量上有一些限制,但这实际上非常适合C&C命令(通常数据量很小)或窃取较小但敏感的数据(例如身份验证令牌)。

该扩展程序将攻击重点放在操纵 Web 应用程序数据上,并未试图将其恶意活动扩展到 Chrome 基础系统。对于这种行为,安全顾问 Bojan Zdrnja 解释道:“尽管他们还想进一步扩展访问权限,但实际上他们只将恶意扩展的活动限制为与 Web 应用程序有关的活动。因为现在几乎所有内容都可以通过Web 应用程序进行管理,无论是内部 CRM、文档管理系统、访问权限管理系统还是其他。这也能解释为什么他们只开发了恶意的 Chrome 扩展程序,而没开发任何其他形式的恶意软件。”

对于已经受到影响的用户,要通过网络阻止恶意扩展泄露数据的话,同样也会阻止 Google 用于各种合法目的的服务器通信(例如 client4.google.com),因此这不是防御类似攻击的正确方法。

为了阻止攻击者滥用 Google Chrome 浏览器的 Sync API 来从公司环境中收集和泄露数据,建议使用组策略来创建允许的 Chrome 扩展程序列表,并阻止所有未进行检查的其他程序。

本文转自OSCHINA

本文标题:恶意扩展程序滥用 Chrome Sync 窃取用户数据

本文地址:https://www.oschina.net/news/129289/malicious-extension-abuses-chrome-sync-to-steal-users-data

责任编辑:未丽燕 来源: 开源中国
相关推荐

2024-01-26 16:23:38

漏洞数据泄露网络安全

2023-08-30 23:15:07

2021-03-30 08:46:10

Android恶意软件应用程序

2011-05-05 18:39:05

2020-08-04 10:27:26

Microsoft E数据泄漏隐私安全

2014-12-03 11:09:16

数据安全数据泄露移动安全

2021-03-31 10:34:14

网络安全网络安全技术周刊

2023-07-06 15:08:29

2011-08-09 09:50:42

2021-02-07 16:34:41

Chrome浏览器系统技巧

2023-08-09 13:28:58

2013-11-29 10:09:37

谷歌用户数据

2016-01-31 17:45:31

2020-12-23 10:52:25

网络安全漏洞5G

2015-01-05 09:56:41

UDPLinux TCP

2024-05-11 19:27:56

2020-07-22 16:30:30

黑客网络钓鱼攻击

2021-01-20 23:40:27

数据泄露OpenWRT攻击

2011-03-25 15:21:43

2021-03-02 09:10:11

黑客恶意软件网络安全
点赞
收藏

51CTO技术栈公众号