据 ZDNet报道,因私自收集用户数据,谷歌从官方 Chrome 应用商店移除了两款 ad blocker 插件,它们包含恶意代码。
据悉,这两款插件分别名为Nano Adblocker和Nano Defender(它们常常被用户一起安装),由 Hugo Xu 开发。在过去一年多的时间,这两款插件总共有 300000 次的下载安装,其中,Nano Adblocker 有超过 50000 次的下载安装,而 Nano Defender 则有超过 200000 次的安装。
值得注意的是,这两款插件最初的版本并不包含恶意代码。
10 月 3 日,Nano Adblocker 和 Nano Defender 插件的开发者 Hugo Xu 表示,因缺乏足够的时间维护插件,他决定将插件的 Chrome 应用商店所有权进行出售。
他在 GitHub 上发布了一则重要更新和免责声明:
我不再控制插件在 Chrome 应用商店的所有权,也不再对插件的任何变更负责。如果您对最近的变更感到担忧,请记住,您可以随时卸载此插件或寻找替代选项。
您可能注意到了,Nano Adblocker 有数月时间未进行更新。很明显,我缺乏足够时间来进行维护。最初,这个项目没有任何积压的事情。随着该项目的发展,我添加了一个待办事项系统来更好的管理未解决的问题。不过,积压的事情后来变得越来越多,超出了我的承受能力。
因此,Hugo Xu 将这两款插件卖给“一个土耳其的开发者团队”,但并未进一步透露交易的相关信息。此后,新的开发者在插件更新中加入了收集数据的代码。
在交易完成后,插件的用户之一 Raymond Hill(uBlock Origin 插件的作者)发现,这两款插件被修改了,里面包含恶意代码。
插件会把用户数据发送到未知名的服务器,这显然为用户带来了巨大的安全和隐私风险。
Hill说:“这两款插件如今被设计用来从你的 outgoing 网络请求中查找特定信息,它使用一种可配置的探测手段,并且把获取到的信息发送到https://def.devnano.com。“
根据进一步的分析,这段恶意代码可以暴露收集的用户信息,例如:
用户 IP 地址
国家/地区
操作系统详情
网站 URLs
web 请求的时间戳
HTTP 方法(POST、GET、HEAD 等等)
HTTP 响应的大小
HTTP 状态码
每个 web 页面上的时间消耗
单个 web 页面上的其他 URLs 点击
此外,交易完成后,这个“土耳其的开发者团队”并未修改插件的作者字段,依然保留了原始作者的名字。这种行为似乎是有意隐藏他们的真实意图。
对用户来说,受恶意插件感染的浏览器会自动对大量的 Instagram 帖子进行点赞,而无需用户输入。加州大学圣地亚哥分校的人工智能和机器学习研究员 Cyril Gorlla 称,他的浏览器对来自一个 Instagram 账户上超过 200 张图片进行点赞,但是这个账户却无人关注。
据悉,并非只有 Nano Adblocker 和 Nano Defender 插件会篡改 Instagram 账户。User Agent Switcher,这款拥有超 100000 活跃用户的插件在被谷歌移除前也干了相同的事。
许多用户报告,受感染的浏览器还打开了未在浏览器中打开的账户。这让人们猜测,更新后的插件正访问身份验证 cookies,并利用它们来访问用户账户。
Hill 表示,“添加的代码能够实时收集请求头(我猜是通过 websocket 连接),这意味着敏感信息可能被泄露,比如 session cookies。”
电子前哨基金会(EEE)一名资深技术人员 Alexei 称,关键是 Nano 插件以一种远程可配置的方式暗中上传你的浏览器数据。远程可配置方式意味着无需更新插件,即可修改数据被窃取的网站列表。实际上,由于远程配置的网站列表目前尚不明确。然而,有许多报道称用户的 Instagram 帐户受到影响。
在 GitHub 上被大量用户“声讨”后,这个土耳其的开发者团队创建了一个隐私政策页面。不过,在这个页面上,他们披露了数据收集行为,但试图以一种误导方式来合法化这段恶意代码。
然而,对谷歌员工来说,事情变得更容易,因为谷歌 Chrome 应用商店规定,任何类型的大量数据收集行为都被禁止。
目前,这两个插件已被被谷歌下线,并且在用户的 Chrome 浏览器中不可用。截至撰写本文时,笔者在 Chrome 应用商店已经无法搜到 Nano Adblocker 和 Nano Defender 这两个插件。
而 Firefox 版本的 Nano Adblocker 和 Nano Defender 插件不包含恶意代码,因为它们不属于本次交易的一部分,并且由不同的开发者进行管理。
前InfoQ编辑
分布式云行业实践指南(2023)
业内首个分布式云行业实践方法论、工具箱。
评论