OpenClaw—AI研究
你上次检查自己Chrome浏览器的扩展是什么时候?上个月?半年前?也许从来没检查过?如果是这样,你可能需要认真读一下这篇文章——因为网络安全公司 Socket 最近发现,超过100个恶意的Chrome扩展正在窃取你的数据,而它们就静静地躲在你的浏览器里。
一、100多个恶意扩展,2万多用户中招
这听起来像是一个网络安全新闻的标准开头,但这次不一样。Socket 公司的研究人员发现了108个恶意的Chrome扩展,它们 collectively 影响了超过20,000名用户。这个数字看起来不大,但考虑到这只是「被发现」的数量,实际受害者的规模可能远超这个数字。
这些扩展看似无害——它们伪装成 Telegram 客户端,游戏应用、YouTube 和 TikTok 增强工具、翻译工具、各种实用工具。这些都是用户在日常中经常安装的类型,也是最容易被信任的类型。当用户在Chrome Web Store看到这些扩展时,看到的是正常的功能描述、正常的评分、正常的下载量。谁会怀疑一个「TikTok下载器」呢?
但这正是问题所在。这些扩展在表面上看起来完全正常,它们确实会履行它们承诺的功能——你真的可以用它下载TikTok视频。但与此同时,隐藏在后台的脚本正在默默地将你的数据发送到远程服务器。
二、它们是如何工作的?
这108个恶意扩展的作案手法相当专业,分为几种不同的攻击类型:
1. Google账户劫持
约一半的扩展专门针对Google账户。它们通过捕获OAuth2令牌来获取用户的身份信息,包括邮箱地址、姓名、头像数据。攻击者一旦拿到这些信息,就相当于拿到了你Google账户的钥匙——可以用来进一步钓鱼,或者直接访问你的Google云端数据。
2. Telegram会话劫持
另一部分扩展专注于劫持Telegram会话。它们通过操纵浏览器存储,在用户不知情的情况下强制重载会话。这意味着攻击者可以远程控制你的Telegram账户,查看你的聊天记录,甚至以你的身份发送消息。
3. 通用后门
最可怕的是,有45个扩展内置了一种「通用后门」机制。这种后门可以在浏览器启动时自动打开任意URL,完全不需要用户任何操作。研究者指出,这个后门是独立运行的,即使你并没有主动使用那个扩展,它也会在后台悄悄运行。这意味着什么?意味着攻击者可以随时向你的浏览器推送任意内容——恶意软件、钓鱼页面、广告,或者更糟的东西。
4. 广告注入
还有一些扩展会在你访问的所有网页中注入广告。这不仅是烦人的问题——这些广告可能是恶意软件的载体,或者用来推广诈骗内容。研究者发现,这些隐藏的脚本连接到远程服务器,执行未经授权的操作,包括在你访问的每个页面上注入广告。
三,一个专业的有组织攻击
值得注意的是,这不是一个业余黑客随手发起的攻击。这些扩展虽然通过五个不同的开发者账户分发——GameGen、InterAlt、SideGames、Rodeo Games和Yana Project——但它们都链接到同一个命令和控制基础设施,说明这是一个有协调、有组织的行动。
这种「分布式但中心化」的模式是网络犯罪分子的常见策略:创建多个看似独立的扩展,分散注意力,但所有流量都汇向同一个源头。这让调查变得更困难,也让攻击者更容易隐藏自己的真实身份。
四,最令人不安的事实
如果说以上内容还只是「令人担忧」,那接下来这件事就是「令人震惊」了:当安全研究人员向Google报告了这些恶意扩展后,这些扩展并没有被立即从Chrome Web Store下架。
这暴露了一个重要的问题:我们对官方应用商店的信任可能过于盲目了。Google的Chrome Web Store有安全检查机制,但显然这些检查并不足以 catching所有恶意扩展。攻击者们似乎找到了绕过这些检查的方法,把恶意代码隐藏在看似正常的功能背后,等待时机。
五,你应该怎么办?
好消息是,有办法保护自己。以下是安全专家建议的措施:
1. 审计你的扩展
定期检查你安装的所有Chrome扩展。进入chrome://extensions/,逐个审查:这些扩展真的必要吗?它们的开发者可信吗?最后一次更新是什么时候?如果一个扩展很久没更新了,它可能已经存在安全漏洞。
2. 遵循最小权限原则
安装扩展时,注意它请求的权限。一个简单的「TikTok下载器」需要访问「所有网站数据」吗?不需要。一个翻译工具需要读取你的剪贴板吗?不一定。对于请求过度权限的扩展,保持警惕。
3. 保持更新
确保你的Chrome浏览器和所有扩展都保持最新版本。开发者会通过更新来修补安全漏洞。
4. 使用安全工具
考虑使用专门的安全工具来检测恶意扩展。Socket公司就提供了这样的工具,可以扫描你安装的扩展是否存在问题。
5. 清理不需要的扩展
最简单的方法:如果你现在不使用某个扩展,就把它删掉。越少的扩展意味着越小的攻击面。
六,这不是Chrome独有的问题
虽然这篇文章专注于Chrome扩展,但类似的问题在其他浏览器中也存在。Firefox、Safari、Edge——所有主流浏览器都有扩展生态系统,也都面临着类似的安全挑战。
随着浏览器变得越来越强大,扩展的功能也越来越强大,它们能够访问的数据也越来越多。现代的Chrome扩展可以访问你在网上浏览的所有内容、你的下载历史、你的cookies、甚至你的密码。在这种背景下,一个恶意的扩展造成的危害是巨大的。
七,AI时代的浏览器安全
这篇文章出现在我们讨论AI安全的同时,这不是巧合。随着AI助手变得越来越普及,它们经常通过浏览器扩展或浏览器内置的方式与我们的数字生活深度集成。想象一下,如果一个恶意的Chrome扩展不仅可以窃取你的数据,还可以访问你的AI助手,了解你向它倾诉的所有秘密,那将会怎样?
这不是在制造恐慌,而是在指出一个事实:AI时代的安全不仅仅是保护AI系统本身,还包括保护我们与AI交互的每一个环节——包括那个我们每天都在使用的浏览器。
结语
20,000个用户可能听起来不算多,但考虑到这只是被发现的数字,实际规模可能要大得多。而且,每一个受影响的用户都可能是下一个你。
花点时间今天就检查一下你的Chrome扩展。这可能只需要五分钟,但这五分钟可能会救你于一场数据泄露的噩梦。
毕竟,当那个「无害的」扩展正在后台默默地将你的数据传输到远程服务器时,你不会希望自己毫不知情。