浏览器扩展程序被曝窃取 ChatGPT 会话数据
HackerNews 编译,转载请注明出处: 网络安全公司LayerX披露,有威胁行为者创建了16款专门窃取用户ChatGPT会话数据的浏览器扩展程序,并成功上架了Chrome和Edge官方商店。该攻击者利用用户对AI增效工具日益增长的需求,向Chrome应用商店投放15款扩展,向微软Edge扩展商店投放1款。 据LayerX报告,这些伪装成ChatGPT增强工具和效率工具的扩展程序累计下载量已超900次,截至1月26日仍在官方商店流通。其攻击机制并非利用ChatGPT漏洞,而是通过向chatgpt.com注入内容脚本并在主JavaScript环境中执行,从而截获用户会话认证令牌并发送至远程服务器。 具体运作流程显示,脚本会监控网页应用发起的出站请求,识别并提取授权头部信息,再由第二层内容脚本将数据外传到远程服务器。”这种方式使扩展程序运营者能够使用受害者活跃会话登录ChatGPT服务,获取全部历史对话记录和连接器信息,”LayerX指出。 安全公司分析发现,攻击者利用主JavaScript环境中的内容脚本直接与页面原生运行时交互,而非依赖浏览器的内容脚本环境。被分析的扩展程序还会窃取扩展元数据、使用遥测数据、事件数据以及后端颁发的访问令牌。”这些数据使攻击者能进一步扩展令牌权限,实现用户身份持久识别、行为画像分析及对第三方服务的长期访问,”LayerX表示。 根据共享代码库、发布者特征以及相似的图标、品牌标识和描述,安全研究人员判断这16款扩展均出自同一威胁行为者之手。LayerX强调:”通过主环境执行与认证令牌截获的组合攻击,运营者在符合标准网络行为规范的前提下实现了对用户账户的持久访问。此类技术利用传统终端或网络安全工具极难检测。” 消息来源: securityweek.com: 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
Google 删除了 32 个恶意 Chrome 扩展程序 安装量达 7500 万次
不仅仅是 Play 商店,Google还需要及时处理偷偷绕过其安全措施的恶意软件。 该公司刚刚从 Chrome 网上应用店中删除了 32 个恶意扩展程序,这些扩展程序的总安装次数似乎已达到 7500 万次。 据BleepingComputer 报道,在这些情况下,扩展程序通常会通过执行其预期功能来向用户隐藏其隐藏代码。 网络安全研究员 Wladimir Palant 此前写道,他在Google浏览器的 PDF 工具箱扩展中发现了混淆代码,该浏览器的 Chrome 网上商店评分为 4.2,用户超过 200 万。 Palant 写道,该代码允许“serasearchtop[.]com”网站向该扩展用户访问的所有网站注入任意 JavaScript 代码。 他解释说,该代码旨在在安装扩展后 24 小时激活,其可能的目的是注入广告。 在 PDF Toolbox 扩展中发现代码几周后,Palant 在后续文章中写道,他发现了 18 个使用类似代码的恶意浏览器扩展。 他们的用户总数为 5500 万,其中包括 Autoskip for YouTube(900 万活跃用户)、Soundboost(690 万)和 Crystal Ad block(680 万)。 在确认这些扩展包含恶意代码后,Avast 向 Google 报告了这些扩展。 这家网络安全巨头发现了其他类似的扩展,使总数达到 32 个,安装次数达到 7500 万。 虽然这个数字高得惊人,但安装数量可能被人为夸大了。 该理论基于 Chrome 网上应用店上可疑的低评论数量以及遇到恶意活动的人数与安装数量不一致的事实。 Avast 确认扩展程序的最终有效负载似乎是向人们发送不需要的广告的垃圾邮件的广告软件,以及显示赞助商链接、付费搜索结果和潜在恶意链接的搜索结果劫持者。 Google表示,报告的扩展程序现已从 Chrome 商店中删除。 任何仍然安装了扩展程序的人都应该停用或卸载它们。 转自 cnBeta,原文链接:https://www.toutiao.com/article/7241167930732347904/ 封面来源于网络,如有侵权请联系删除
Chrome 商城出现虚假微软 Authenticator 扩展程序 已上架将近 1 个月
Microsoft Authenticator 是一款非常优秀的安全工具,通过双因素认证提高账户的安全性。但近期,有诈骗者通过 Microsoft Authenticator 的好名声来欺骗用户分享他们的个人信息。援引外媒 gHacks 报道,在 Chrome Web Store 上发现了一款虚假的 Microsoft Authenticator 扩展程序。在被下架之前,该扩展已经上线将近 1 个月时间。 这款扩展程序并非由微软提供,而是来自于一个名为“Extensions”的开发者。而且在评论下方还有不少积极的正面评论,这些评论很可能是假的,用于来让扩展看起来像是微软官方的。正如你对一个假扩展所期望的那样,它实际上不能被用来验证微软账户的登录。相反,它有一个按钮,将你重定向到一个波兰页面,要求你创建一个账户。 正如 gHacks 所强调的那样,这个假的微软认证器扩展在被删除之前有 448 个用户和三星级评价。它于 2021 年 4 月 23 日首次出现在 Chrome 网络商店,这意味着它在被删除之前已经运行了近一个月。 微软的一位发言人向The Register证实,“微软从来没有为Microsoft Authenticator 提供过 Chrome扩展。公司鼓励用户向 Chrome 网络商店报告任何可疑的扩展”。Google没有回答关于该假列表如何在商店中出现并在近一个月内没有被删除的请求。 (消息及封面来源:cnBeta)
Chrome 扩展程序包含恶意代码,窃取加密钱包私钥
一个 Google Chrome 扩展程序被发现在网页上注入了 JavaScript 代码,以从加密货币钱包和加密货币门户网站窃取密码和私钥。 该扩展名为 Shitcoin Wallet(Chrome 扩展 ID:ckkgmccefffnbbalkmbbgebbojjogffn),于 12 月 9 日启动。 据介绍,Shitcoin Wallet 允许用户管理以太(ETH)币,也可以管理基于以太坊 ERC20 的代币-通常为 ICO 发行的代币(初始代币发行)。用户可以从浏览器中安装 Chrome 扩展程序并管理 ETH coins 和 ERC20 tokens;同时,如果用户想从浏览器的高风险环境之外管理资金,则可以安装 Windows桌面应用。 然而,MyCrypto 平台的安全总监 Harry Denley 则在近日发现了该扩展程序包含恶意代码。 根据 Denley 的说法,对用户而言,该扩展存在有两种风险。首先,直接在扩展内管理的任何资金(ETH coins 和基于 ERC0 的代币)都处于风险中。Denley表示,该扩展会将通过其接口创建或管理的所有钱包的私钥发送到位于 erc20wallet[.]tk 的第三方网站。 其次,当用户导航到五个著名和流行的加密货币管理平台时,该扩展还可以主动注入恶意 JavaScript 代码。此代码将窃取登录凭据和私钥,将数据发送到同一 erc20wallet[.]tk 第三方网站。 根据对恶意代码的分析,该过程如下: 用户安装 Chrome 扩展程序 Chrome 扩展程序请求在 77 个网站上注入 JavaScript(JS)代码的权限 [listed here] 当用户导航到这77个站点中的任何一个时,扩展程序都会从以下位置加载并注入一个附加的 JS 文件:https://erc20wallet[.]tk/js/content_.js 此 JS 文件包含混淆的代码 [deobfuscated here] 该代码在五个网站上激活:MyEtherWallet.com,Idex.Market,Binance.org,NeoTracker.io,和 Switcheo.exchange 一旦激活,恶意 JS 代码就会记录用户的登录凭据,搜索存储在五个服务的 dashboards 中的私钥,最后将数据发送到 erc20wallet[.]tk 目前尚不清楚 Shitcoin Wallet 团队是否应对恶意代码负责,或者 Chrome 扩展是否受到第三方的破坏。 参考消息:https://www.zdnet.com/article/chrome-extension-caught-stealing-crypto-wallet-private-keys/ (稿源:开源中国,封面源自网络。)
谷歌新规:禁止从第三方来源安装Chrome扩展程序
讯 北京时间6月13日中午消息,之前谷歌决定禁止Windows用户从Chrome网上应用店(Web Store)之外的第三方网站直接安装Chrome扩展程序。而根据谷歌的最新规定,从今年夏天开始,所有平台上的用户都不能从官方应用店之外安装Chrome扩展程序。 谷歌指出,在Chrome网上应用店内有说明资料和功能列表,它们能帮助用户做决定,让他们知道是否真的需要安装某个扩展程序。谷歌发现,如果用户是从官方扩展程序入口进入的,安装附加程序之后卸载的机率更低。 对于2018年6月12日(北京时间13日)发布的扩展程序,谷歌禁止使用“内联式安装”(inline installations)功能。从9月12日开始,现有扩展程序也会禁用此功能。如果用户在网络上其它地方点击链接,只会引导到Chrome Web Store,不能从开发者网站或者其它网站直接安装。 2018年12月初,在Chrome 71浏览器中谷歌会完全删除“内联式安装”功能API,到时开发者再也不能使用该选项。 稿源:,稿件以及封面源自网络;
谷歌将禁止所有加密货币挖矿扩展程序进入 Chrome 商店
谷歌周一在 Chromium 博客中发文称,该公司将不允许任何新的加密数字货币“ 挖矿 ”扩展程序进入 Chrome 浏览器的网络商店,而此前已经进入了这个商店的挖矿扩展程序也将在不久之后被移除。谷歌 Play Store 应用商店中已有大量基于数字加密技术的虚假应用,这些应用以“抢劫”下载者、获取用户数据或秘密为第三方开采加密数字货币而闻名。 而现在看来类似的问题已在 Chrome Store 网络商店中浮出水面,有些挖矿扩展程序未遵守谷歌的相关政策。 谷歌在博文中称:“到目前为止,Chrome Web Store 的政策允许上传加密数字货币挖矿扩展程序,前提为挖矿是其唯一用途,并需就挖矿行为向用户发出适当的通知。不幸的是,在开发者尝试向 Chrome Web Store 上传的带有挖矿脚本的扩展程序中,约有 90% 都并未遵循这些政策,因此已被拒绝进入该商店或已被移除。从今天开始,Chrome Web Store 将不再接受开采加密数字货币的扩展程序,现有扩展程序将于 6 月底被下架。区块链相关用途而非挖矿用途的扩展程序则仍可继续上传到 Chrome Web Store。” 虽然 Facebook、职业社交网站领英(LinkedIn)、Twitter、谷歌、“阅后即焚”通信应用 Snapchat 和邮件营销工具 MailChimp 都已禁止对 ICO(首次代币发行)或其他区块链相关产品做广告,但谷歌看起来不会对区块链而非挖矿用途的扩展程序“动刀”,这对 MetaMask 等服务来说是个好消息。 当然,谷歌致力于打击的并非只有明确与挖矿相关的扩展程序。举例来说,号称可“保护浏览”的扩展程序 MetaMask 被发现在后台秘密开采门罗币(Monero),而该程序的 14 万余名用户对此毫不知情,更不必说同意其这样做了。 稿源:cnBeta、,稿件以及封面源自网络;
Chrome 扩展程序可防止基于 JavaScript 的 CPU 旁路攻击
据外媒报道,某学术团队创建了一个名为 Chrome Zero 的 Chrome 扩展程序,据称可阻止使用 JavaScript 代码从计算机中的 RAM 或 CPU 泄露数据的旁路攻击。目前该扩展程序仅在 GitHub 上提供,并且不能通过 Chrome 官方网上商店下载。 安全专家表示,目前有 11 种最先进的旁路攻击可以通过在浏览器中运行的 JavaScript 代码执行。 根据对这些先进的旁路攻击进行研究之后,研究人员确定了 JavaScript 旁路攻击试图利用的 5 种主要数据/特性:JS 可恢复的内存地址、精确的时间信息、浏览器的多线程支持、JS 代码线程共享的数据以及来自设备传感器的数据。 针对以上情况,Chrome Zero 试图通过拦截 Chrome 浏览器应执行的 JavaScript 代码,重写封装器中的某些 JavaScript 函数、属性以及对象来抵御旁路攻击。 尤其值得注意的是,安全专家表示 Chrome Zero 不仅能够消除旁路攻击,并且还具有最低的性能影响。此外,自 Chrome 49 发布以后,Chrome Zero 将能够阻止 50% 的 Chrome 0day 攻击。 消息来源:bleepingcomputer.,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。