揭秘新型Chrome浏览器扩展同步劫持：潜藏的网络威胁曝光

Chrome浏览器扩展同步劫持：隐藏危机揭秘

　　 1月31日消息，网络安全公司SquareX于昨日（1月30日）发表了一篇博文，揭示了一种通过Chrome扩展程序实施的新攻击方式。尽管这一攻击过程错综复杂且极具隐匿性，但它所需要的权限却很少。受害者只需安装一个看似正规的Chrome扩展程序，几乎不需要进行其他操作就可能成为攻击目标。

　　 攻击者首先构建了一个恶意的Google Workspace域名，并在此域名内设置了多个用户配置文件，同时关闭了多因素身份验证等关键的安全防护措施。这一Workspace域名被用来在受害者的设备上秘密创建托管配置文件。 这种利用Google Workspace进行网络攻击的手法确实让人担忧。它不仅暴露了现有安全系统中的漏洞，还显示了攻击者手法的日益复杂化。这也提醒我们，在日常使用中，必须更加重视账户的安全设置，比如启用多因素认证，以减少被攻击的风险。此外，企业和个人都应该定期检查其在线服务的安全设置，确保所有必要的防护措施都已到位。

　　 攻击者常通过发布伪装成实用工具的浏览器扩展程序来欺骗用户，这些扩展程序看似具有合法功能，实则可能包含恶意代码。他们通常会将这些扩展程序上架至Chrome网上应用店，再利用社会工程学手段诱导受害者下载安装。这种策略利用了用户的信任和对便捷工具的需求，使得许多用户在不经意间成为攻击的目标。 这种现象凸显出网络安全教育的重要性。用户应该提高警惕，不仅是在下载软件时，而且在日常使用互联网的过程中。同时，平台方如Chrome网上应用店也应加强审核机制，确保上架的应用程序安全可靠，为用户提供一个更加安全的网络环境。此外，对于那些已经遭受损失的用户，建立有效的投诉渠道和快速响应机制也至关重要。只有这样，才能有效减少此类事件的发生，保护用户的合法权益。

　　 该扩展程序会在后台静默地以隐藏的浏览器窗口将受害者登录到攻击者托管的 Google Workspace 配置文件之一。

　　 扩展程序会打开一个合法的 Google 支持页面。由于它拥有对网页的读写权限，它会在页面中注入内容，指示用户启用 Chrome 同步功能。

　　 一旦同步，所有存储的数据（包括密码和浏览历史记录）都有可能被攻击者获取，攻击者现在能够在自己的设备上使用这些非法获得的配置文件。

　　 攻击者掌控了受害者的账号文件之后，便会试图接管其浏览器。在SquareX的演示中，这一过程是借助虚假的Zoom更新实现的。

　　 研究人员指出的一种情景是，受害者可能收到一个Zoom会议邀请。当他们点击并访问Zoom网站时，该页面会注入恶意内容，提示需要更新Zoom客户端。但实际上，这是一个可执行文件的下载链接，其中包含了注册令牌，使攻击者能够完全控制受害者的浏览器。

　　 一旦注册流程结束，攻击者便掌握了受害者浏览器的全部控制权，这使他们能够悄无声息地访问所有Web应用、安装额外的恶意插件、把用户重定向至欺诈性网站、监视及更改文件下载等操作。

　　 通过利用Chrome的NativeMessaging API，黑客能够在恶意扩展程序与用户的操作系统间创建直接通讯渠道。这种能力让他们可以进行目录浏览、文件修改、恶意软件安装、任意指令执行、按键记录、敏感信息窃取，甚至激活网络摄像头和麦克风。