这两款超过30万次下载的Chrome插件“有毒”,建议立即删除

2020 年 10 月 21 日

这两款超过30万次下载的Chrome插件“有毒”,建议立即删除

据 ZDNet报道,因私自收集用户数据,谷歌从官方 Chrome 应用商店移除了两款 ad blocker 插件,它们包含恶意代码。


据悉,这两款插件分别名为Nano AdblockerNano Defender(它们常常被用户一起安装),由 Hugo Xu 开发。在过去一年多的时间,这两款插件总共有 300000 次的下载安装,其中,Nano Adblocker 有超过 50000 次的下载安装,而 Nano Defender 则有超过 200000 次的安装。



值得注意的是,这两款插件最初的版本并不包含恶意代码。


10 月 3 日,Nano Adblocker 和 Nano Defender 插件的开发者 Hugo Xu 表示,因缺乏足够的时间维护插件,他决定将插件的 Chrome 应用商店所有权进行出售


他在 GitHub 上发布了一则重要更新和免责声明:


我不再控制插件在Chrome应用商店的所有权,也不再对插件的任何变更负责。如果您对最近的变更感到担忧,请记住,您可以随时卸载此插件或寻找替代选项。

您可能注意到了,Nano Adblocker有数月时间未进行更新。很明显,我缺乏足够时间来进行维护。最初,这个项目没有任何积压的事情。随着该项目的发展,我添加了一个待办事项系统来更好的管理未解决的问题。不过,积压的事情后来变得越来越多,超出了我的承受能力。


因此,Hugo Xu 将这两款插件卖给“一个土耳其的开发者团队”,但并未进一步透露交易的相关信息。此后,新的开发者在插件更新中加入了收集数据的代码。


在交易完成后,插件的用户之一 Raymond Hill(uBlock Origin 插件的作者)发现,这两款插件被修改了,里面包含恶意代码。


插件会把用户数据发送到未知名的服务器,这显然为用户带来了巨大的安全和隐私风险。


Hill:“这两款插件如今被设计用来从你的 outgoing 网络请求中查找特定信息,它使用一种可配置的探测手段,并且把获取到的信息发送到https://def.devnano.com。“


根据进一步的分析,这段恶意代码可以暴露收集的用户信息,例如:


  • 用户IP地址

  • 国家/地区

  • 操作系统详情

  • 网站URLs

  • web请求的时间戳

  • HTTP方法(POST、GET、HEAD等等)

  • HTTP响应的大小

  • HTTP状态码

  • 每个web页面上的时间消耗

  • 单个web页面上的其他URLs点击


此外,交易完成后,这个“土耳其的开发者团队”并未修改插件的作者字段,依然保留了原始作者的名字。这种行为似乎是有意隐藏他们的真实意图。


对用户来说,受恶意插件感染的浏览器会自动对大量的 Instagram 帖子进行点赞,而无需用户输入。加州大学圣地亚哥分校的人工智能和机器学习研究员 Cyril Gorlla 称,他的浏览器对来自一个 Instagram 账户上超过 200 张图片进行点赞,但是这个账户却无人关注。


据悉,并非只有 Nano Adblocker 和 Nano Defender 插件会篡改 Instagram 账户。User Agent Switcher,这款拥有超 100000 活跃用户的插件在被谷歌移除前也干了相同的事。


许多用户报告,受感染的浏览器还打开了未在浏览器中打开的账户。这让人们猜测,更新后的插件正访问身份验证 cookies,并利用它们来访问用户账户。


Hill 表示,“添加的代码能够实时收集请求头(我猜是通过 websocket 连接),这意味着敏感信息可能被泄露,比如 session cookies。”


电子前哨基金会(EEE)一名资深技术人员 Alexei 称,关键是 Nano 插件以一种远程可配置的方式暗中上传你的浏览器数据。远程可配置方式意味着无需更新插件,即可修改数据被窃取的网站列表。实际上,由于远程配置的网站列表目前尚不明确。然而,有许多报道称用户的 Instagram 帐户受到影响。


在 GitHub 上被大量用户“声讨”后,这个土耳其的开发者团队创建了一个隐私政策页面。不过,在这个页面上,他们披露了数据收集行为,但试图以一种误导方式来合法化这段恶意代码。


然而,对谷歌员工来说,事情变得更容易,因为谷歌 Chrome 应用商店规定,任何类型的大量数据收集行为都被禁止。


目前,这两个插件已被被谷歌下线,并且在用户的 Chrome 浏览器中不可用。截至撰写本文时,笔者在 Chrome 应用商店已经无法搜到 Nano Adblocker 和 Nano Defender 这两个插件。


而 Firefox 版本的 Nano Adblocker 和 Nano Defender 插件不包含恶意代码,因为它们不属于本次交易的一部分,并且由不同的开发者进行管理。


2020 年 10 月 21 日 18:331255
用户头像
万佳 InfoQ编辑

发布了 418 篇内容, 共 152.1 次阅读, 收获喜欢 806 次。

关注

评论

发布
暂无评论
发现更多内容

人民版权 获2020中国产业区块链创新奖

CECBC区块链专委会

区块链 产业发展 版权

OpenKruise:Kubernetes 核心控制器 Plus

郭旭东

Kubernetes 云原生 OpenKruise

Spring整合WebSocket

牛初九

Redis 持久化--AOF

是老郭啊

redis redis持久化 aof

NodeX Component - 滴滴集团 Node.js 生态组件体系

滴滴普惠出行

controller-manager的主动驱逐

Geek_f24c45

Kubernetes k8s

数字货币交易平台搭建,去中心化交易所开发方案

13530558032

LeetCode题解:155. 最小栈,单个栈同时存储最小值,JavaScript,详细注释

Lee Chen

LeetCode 前端进阶训练营

易观CTO郭炜:如何构建企业级大数据Ad-hoc查询引擎

易观大数据

Spring Boot中获取配置的一些方法

Geek_416be1

Spring Boot 2

JVM 内存模型、字节码、垃圾回收面试要点

escray

面试 学习笔记 垃圾回收 字节码 面试现场

向云再出发:如数据般飞驰的内蒙古

脑极体

Vue+Springboot项目部署

ZRK

Vue 前后端分离 springboot 部署

OFD版式技术深度解读:卷首语

华宇法律科技

版式文档 OFD

数字人民币钱包短暂露面 金融诈骗伺机而起

CECBC区块链专委会

数字货币 钱包 货币

银行大数据新玩法,构建“一湖两库”金融数据湖

华为云开发者社区

大数据 数据湖 FusionInsight MRS DWS

一个空格引发的“救火之旅” - 记一次 SOFA RPC 的排查过程

阿里云金融线TAM SRE专家服务团队

一文带你深扒ClassLoader内核,揭开它的神秘面纱!

我没有三颗心脏

Java ClassLoader java基础 类加载器

【译】Amazon Aurora: Design Considerations for High Throughput Cloud-Native Relational Databases 上篇

花里胡哨

分布式数据库 异步 Amazon Aurora 日志驱动

开发任务管理分析报告

森林

区块链支付系统开发方案,usdt跑分系统搭建

WX13823153201

Redis常见问题--单线程

是老郭啊

nosql redis 线程

数字化转型需要低/零代码平台的支持

代码制造者

低代码 数字化转型 企业信息化 零代码 编程开发

Redis常见问题--哈希冲突

是老郭啊

哈希表 Redis项目

开发者的福音,LR.NET模块化代码生成器

Learun

Java 敏捷开发 .net core 计算机程序设计艺术 软件设计

10万奖金等你拿!2020第四届易观OLAP算法大赛火热开启

易观大数据

看百度技术专家如何深入研究,重复使用的代码经验——设计模式

周老师

Java 编程 程序员 架构 设计模式

深入了解 Rust 异步开发模式

lipi

rust 异步

消息队列之事务消息,RocketMQ 和 Kafka 是如何做的?

yes的练级攻略

分布式事务 RocketMQ kafak 事务消息

JAVA,.NET项目开发难上手?Learun敏捷开发框架解君愁

Philips

Java 敏捷开发 .net core

新基建迎来风口 新人才仍有缺口

CECBC区块链专委会

人工智能 新基建 数字化基础

这两款超过30万次下载的Chrome插件“有毒”,建议立即删除-InfoQ