唉低 -千年之夏- 批萬 姆咪板 廢文 [資安] 惡意Chrome、Firefox擴充程式強迫安裝，而且狡猾地不給用戶移除 嘻嘻 Sun Jan 01 00:00:00 1990 ─────────────────────────────────────── -- 當心! 惡意Chrome、Firefox擴充程式強迫安裝，而且狡猾地不給用戶移除 https://www.ithome.com.tw/news/120836 Malwarebytes發現在Chrome、Firefox上出現惡意擴充程式，以強迫安裝的方 式植入用戶的電腦中，而且以相當狡猾地以種種手法不讓用戶輕易移除，經 揭露後Chrome的惡意擴充程式已被下架。 瀏覽器擴充程式已然成為新的安全問題。安全公司Malwarebytes*分別發現 Chrome與Firefox有惡意擴充程式安裝後竟會使用詭計不讓用戶移除。 在Chrome上的惡意擴充程式稱為Tiempo en Colombia en vivo。它是該公司 2016年發現強迫安裝Chrome擴充程式的一種手法而流傳。在這種手法下，網 站被植入一種惡意JavaScript程式，會在用戶不小心造訪網站時跳出對話框 ，要求使用者如果要離開網站就必須安裝擴充程式。一般人會按「取消」， 這時它會再顯示「避免本頁再產生其他對話框」的對話框。通常使用者會按 下「OK」。不過這會讓用戶被導向全螢幕模式，並看見自己正要安裝的擴充 程式。 Tiempo en Colombia en vivo一旦被安裝到電腦上，它會使Chrome出現異常 行為。例如研究人員Pieter Arntz在測試機器上發現它會自動點擊十多部 YouTube影片，似乎要衝刺點閱率。 但當用戶想要移除它時會發現難上加難。首先，它不讓用戶連結 chrome://extensions/，即可一覽Chrome擴充程式並移除的頁面，而是導向 chrome://apps/?r=extensions。在這個頁面上自然找不到這個惡意擴充程式 。封鎖Chrome中的JavaScript也沒有用，因此這個方法只適用於外部網頁， 對本機上的網頁無效。而在Chrome下執行「–disable-extensions」指令也 沒用，因為Chrome會顯示它沒有擴充程式。 唯一方法是修改擴充程式資料匣中的1499654451774.js檔名。此後重新啟動 Chrome即會在chrome://extensions/顯示所有擴充程式，包括Tiempo en Colombia en vivo，但因為其JavaScript被重新命名，因此會顯示該檔案已 損毁。但這時即可將之刪除。（來源：Malwarebytes） https://blog.malwarebytes.com/wp-content/uploads/2018/01/ChromeRenamedJS.png Malwarebytes研究人員也在Firefox發現有類似手法的擴充程式，名為 PUP.Optional.FFHelperProtection。但它是以網站上的廣告輪播程式推送出 Firefox手動更新的詐騙廣告，誘騙使用者下載。安裝後它會在用戶搜尋擴充 程式頁時，以background.js尋找URL的字串，然後將之關閉，讓使用者想移 除也找不到。 不過這個擴充程式比較容易對付。只要在啟動Firefox時按著Shift鍵，按下 「以安全模式啟動」的選項。在安全模式的Firefox下，所有擴充程式都會現 形，讓使用者得以手動移除。而且如果Firefox因為JavaScript，對話框一再 跳出而動彈不得的話，只要利用「工作管理員」即可關閉Firefox。 Tiempo en Colombia en vivo在上周四都可在Chrome Web Store上下載。 Malwarebytes公佈並由Ars Technica報導後**，Google已經將之移除。 PUP.Optional.FFHelperProtection則並未在Firefox 擴充程式商店中發現。 由於這兩款惡意擴充程式可能是利用強迫安裝法安裝到用戶端，有可能被趁 虛而入。因此安全公司建議不要下載來路不明的擴充程式，並使用廣告封鎖 工具。最好方法是詳細閱讀任何擴充程式的使用條款。 這是最新發現的惡意Chrome擴充程式。近年來Chrome擴充程式常被駭客用來 散佈惡意廣告程式***。本月又有資安業者分別發現****Chrome Web Store 上有Chrome擴充程式被植入採礦程式*****或點擊詐騙程式，消息曝光後 Google才將之移除。 * https://is.gd/D166uh ** https://is.gd/rVjvhb *** https://is.gd/raD3Y9 **** https://is.gd/jjbKuD ***** https://is.gd/ZXlgr3 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 89.212.211.14 ※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1516860330.A.FA0.html ※ 編輯: kaoh08 (89.212.211.14), 01/25/2018 14:25:14