对谷歌Chrome用户的大规模间谍活动显示出新的安全漏洞

2020-06-18 14:25:22

路透旧金山8月23日电-Awake Security的研究人员告诉路透,一项新发现的间谍软件努力通过下载3,200万次谷歌市场领先的Chrome网络浏览器的扩展来攻击用户,突显出科技行业未能保护浏览器,因为浏览器更多地用于电子邮件、工资单和其他敏感功能。

Alphabet Inc的谷歌(GOOGL.O)表示,在上月接到研究人员的警告后,该公司从其官方Chrome网络商店中删除了70多个恶意插件。

谷歌发言人Scott Westover告诉路透社:“当我们接到网络商店中违反我们政策的扩展的警报时,我们会采取行动,并将这些事件作为培训材料,以改进我们的自动和手动分析。”

大多数免费扩展声称是为了警告用户有问题的网站或将文件从一种格式转换为另一种格式。取而代之的是,他们抽走了提供访问内部业务工具凭据的浏览历史和数据。

觉醒联合创始人兼首席科学家加里·戈罗姆(Gary Golomb)表示,从下载量来看,这是迄今为止影响最深远的恶意Chrome商店活动。

谷歌拒绝讨论最新的间谍软件与之前的活动相比有何不同,破坏的广度有多大,也拒绝讨论为什么尽管过去承诺更密切地监督服务,但谷歌没有自己检测并删除不良扩展。

目前还不清楚谁是分发恶意软件的幕后黑手。觉醒说,开发者在向谷歌提交扩展时提供了虚假的联系信息。

美国国家安全局(National Security Agency)前工程师本·约翰逊(Ben Johnson)表示:“任何让你进入某人的浏览器、电子邮件或其他敏感区域的东西,都会成为国家间谍活动和有组织犯罪的目标。”本·约翰逊创立了安全公司Carbon Black和黑曜石安全公司(Obsidian Security)。

Golomb说,这些扩展是为了避免被反病毒公司或评估网络域名声誉的安全软件检测到。

研究人员发现,如果有人使用该浏览器在家用电脑上上网,它就会连接到一系列网站并传输信息。任何使用公司网络(包括安全服务)的人都不会传输敏感信息,甚至不会到达恶意版本的网站。

Golomb说:“这表明攻击者可以使用极其简单的方法来隐藏,在这种情况下,隐藏数千个恶意域名。”

所有有问题的域名,总共超过15,000个相互链接的域名,都是从以色列的一家小型注册商Galcomm购买的,正式名称为CommuniGal Communication Ltd。

在一封电子邮件往来中,Galcomm的所有者Mohe Fogel告诉路透社,他的公司没有做错任何事情。

福格尔写道:“Galcomm没有参与,也没有参与任何恶意活动。”“你可以说恰恰相反,我们与执法和安全机构合作,尽我们所能防止。”

福格尔说,Golomb说他在4月份和5月份两次向公司的电子邮件地址报告虐待行为,没有查询的记录,他要求提供一份可疑域名的名单。路透社向他发送了这份名单三次,都没有得到实质性的回复。

负责监督注册商的互联网名称与数字地址分配机构(Internet Corp For Assigned Names And Numbers)表示,多年来几乎没有收到有关Galcomm的投诉,也没有收到过关于恶意软件的投诉。

虽然欺骗性的延期多年来一直是一个问题,但它们正在变得越来越糟糕。他们最初会投放不想要的广告,现在更有可能安装额外的恶意程序,或者追踪用户在哪里,以及他们在为政府或商业间谍做什么。

恶意开发者将谷歌的Chrome Store用作渠道已有很长一段时间了。在十分之一的提交被认为是恶意的之后,谷歌在2018年表示,它将通过增加人工审查来提高安全性。

但在2月份,独立研究员Jamila Kaya和思科系统的Duo Security在这里发现了一个类似的Chrome活动,从大约170万用户那里窃取了数据。谷歌加入了调查,发现了500个欺诈性扩展。

谷歌的Westover说:“我们定期进行扫描,使用类似的技术、代码和行为来查找扩展。”他的语言与谷歌在Duo报告后发布的语言相同。