唉低 -千年之夏- 批萬 姆咪板
廢文 [資安] 惡意Chrome、Firefox擴充程式強迫安裝,而且狡猾地不給用戶移除
嘻嘻 Sun Jan 01 00:00:00 1990
───────────────────────────────────────
--
當心! 惡意Chrome、Firefox擴充程式強迫安裝,而且狡猾地不給用戶移除
https://www.ithome.com.tw/news/120836
Malwarebytes發現在Chrome、Firefox上出現惡意擴充程式,以強迫安裝的方
式植入用戶的電腦中,而且以相當狡猾地以種種手法不讓用戶輕易移除,經
揭露後Chrome的惡意擴充程式已被下架。
瀏覽器擴充程式已然成為新的安全問題。安全公司Malwarebytes*分別發現
Chrome與Firefox有惡意擴充程式安裝後竟會使用詭計不讓用戶移除。
在Chrome上的惡意擴充程式稱為Tiempo en Colombia en vivo。它是該公司
2016年發現強迫安裝Chrome擴充程式的一種手法而流傳。在這種手法下,網
站被植入一種惡意JavaScript程式,會在用戶不小心造訪網站時跳出對話框
,要求使用者如果要離開網站就必須安裝擴充程式。一般人會按「取消」,
這時它會再顯示「避免本頁再產生其他對話框」的對話框。通常使用者會按
下「OK」。不過這會讓用戶被導向全螢幕模式,並看見自己正要安裝的擴充
程式。
Tiempo en Colombia en vivo一旦被安裝到電腦上,它會使Chrome出現異常
行為。例如研究人員Pieter Arntz在測試機器上發現它會自動點擊十多部
YouTube影片,似乎要衝刺點閱率。
但當用戶想要移除它時會發現難上加難。首先,它不讓用戶連結
chrome://extensions/,即可一覽Chrome擴充程式並移除的頁面,而是導向
chrome://apps/?r=extensions。在這個頁面上自然找不到這個惡意擴充程式
。封鎖Chrome中的JavaScript也沒有用,因此這個方法只適用於外部網頁,
對本機上的網頁無效。而在Chrome下執行「–disable-extensions」指令也
沒用,因為Chrome會顯示它沒有擴充程式。
唯一方法是修改擴充程式資料匣中的1499654451774.js檔名。此後重新啟動
Chrome即會在chrome://extensions/顯示所有擴充程式,包括Tiempo en
Colombia en vivo,但因為其JavaScript被重新命名,因此會顯示該檔案已
損毁。但這時即可將之刪除。(來源:Malwarebytes)
https://blog.malwarebytes.com/wp-content/uploads/2018/01/ChromeRenamedJS.png
Malwarebytes研究人員也在Firefox發現有類似手法的擴充程式,名為
PUP.Optional.FFHelperProtection。但它是以網站上的廣告輪播程式推送出
Firefox手動更新的詐騙廣告,誘騙使用者下載。安裝後它會在用戶搜尋擴充
程式頁時,以background.js尋找URL的字串,然後將之關閉,讓使用者想移
除也找不到。
不過這個擴充程式比較容易對付。只要在啟動Firefox時按著Shift鍵,按下
「以安全模式啟動」的選項。在安全模式的Firefox下,所有擴充程式都會現
形,讓使用者得以手動移除。而且如果Firefox因為JavaScript,對話框一再
跳出而動彈不得的話,只要利用「工作管理員」即可關閉Firefox。
Tiempo en Colombia en vivo在上周四都可在Chrome Web Store上下載。
Malwarebytes公佈並由Ars Technica報導後**,Google已經將之移除。
PUP.Optional.FFHelperProtection則並未在Firefox 擴充程式商店中發現。
由於這兩款惡意擴充程式可能是利用強迫安裝法安裝到用戶端,有可能被趁
虛而入。因此安全公司建議不要下載來路不明的擴充程式,並使用廣告封鎖
工具。最好方法是詳細閱讀任何擴充程式的使用條款。
這是最新發現的惡意Chrome擴充程式。近年來Chrome擴充程式常被駭客用來
散佈惡意廣告程式***。本月又有資安業者分別發現****Chrome Web Store
上有Chrome擴充程式被植入採礦程式*****或點擊詐騙程式,消息曝光後
Google才將之移除。
*
https://is.gd/D166uh
**
https://is.gd/rVjvhb
***
https://is.gd/raD3Y9
****
https://is.gd/jjbKuD
*****
https://is.gd/ZXlgr3
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 89.212.211.14
※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1516860330.A.FA0.html
※ 編輯: kaoh08 (89.212.211.14), 01/25/2018 14:25:14
推 ltytw: 不覺得現在的javascript過份強大了嗎? 想當年的javascript 01/26 14:40
→ ltytw: 就是只能做一些基本的 01/26 14:40
推 Wcw5504: 以前用activex跟napapi的時候更嚴重 現在已經算好了 01/26 16:08
推 Toge: 沒辦法,漏洞是一定有的,看有沒有人要鑽而已 01/26 17:32
推 Shauter: W大的那兩個是先天做的濫 JS則是強大 很大的差別 01/27 00:17
推 eight0: 除了全螢幕,dialog 和重新導向都是十年前 JavaScript 就 01/27 11:33
→ eight0: 能做到的事情 01/27 11:33