您的浏览器扩展是僵尸网络后门吗？

一家出租了超过1000万个Web浏览器以使客户可以隐藏其真实Internet地址的公司的公司已经建立了自己的网络，方法是向浏览器扩展制造商付款，以在其作品中悄悄地包含其代码。这个故事探讨了扩展开发的不平衡经济学，以及为什么安装扩展会带来如此高的风险。

总部位于新加坡的Infatica [.io]是影子公司不断发展的行业的一部分，这些公司试图吸引那些维护流行浏览器扩展的开发人员-可以从Apple，Google，Microsoft和Mozilla下载的桌面和移动设备软件附加组件，旨在增加功能。或根据自己的浏览体验进行自定义。

其中一些扩展已经吸引了成千上万甚至数百万的用户。但是有一个难题：随着扩展程序用户群的增长，通过软件更新来维护它们并响应用户支持请求往往会占用作者过多的时间。但是扩展作者很少有选择为其工作赚取经济报酬的选择。

因此，当一家公司出现并提出购买扩展程序（或付钱给作者静默包含一些额外的代码）时，该建议通常太好了而无法通过。

就Infatica而言，它会寻找扩展名至少有50,000个用户的作者。同意使用Infatica的计算机代码的扩展程序制造商，每1000个活跃用户每月可赚取15到45美元不等的报酬。

然后，Infatica的代码将使用安装了该扩展程序的任何人的浏览器，为公司的客户（包括营销商）或有能力支付高额订阅费用的任何人路由Web流量。

最终结果是Infatica客户浏览到一个网站时，该网站认为流量来自与扩展用户相关联的Internet地址，而不是客户的互联网地址。

Infatica会根据客户希望匿名化的网络流量来定价其服务，从每月360美元的40 GB到每月20,000美元的10,000万字节通过数百万台家用计算机推送的数据流量。

Hao Nguyen是ModHeader的开发人员，ModHeader是一个扩展，超过40万人使用此扩展，通过使用户更轻松地修改与这些网站共享的数据来测试网站的功能。当Nguyen发现自己花费更多的时间和金钱来支持扩展时，他尝试在程序中加入广告以帮助抵消费用。

ModHeader用户大声抗议该更改，Nguyen删除了这些广告-他说这反正并没有给他带来多少利润。

Nguyen表示，他忽略了来自不同公司的多次要求，要求他们付费以插入代码，这主要是因为该代码使这些公司能够随时将所需的内容注入他的程序（以及用户设备）中。

他说，随后是Infatica，相比之下，它的代码相当简单。它限制了公司只能通过用户的浏览器路由Web请求，并且没有尝试访问用户浏览器体验中更敏感的部分，例如存储的密码和Cookie，或查看用户的屏幕。

更重要的是，这笔交易将使他每月至少获利1,500美元，甚至可能更多。

他说：“我尝试了Infatica，但几天之内，我收到了很多负面的用户评论。” “他们不喜欢该扩展程序可能会使用其浏览器作为代理来访问色情网站等不太好的地方。”

如今，Nguyen将更多时间投入到chrome-stats.com上，该网站提供了有关150,000多个扩展的详细信息。该服务是免费提供的，但使用有限，但按月付费的订户可以访问更多资源，例如较旧的扩展版本以及有关其代码组件的详细信息。

根据chrome-stats.com的说法，大多数扩展程序（其中超过100,000个）实际上已被其作者放弃，或者两年多来没有更新。换句话说，有很多开发人员可能对其他购买他们的创作和用户群的人开放。

绝大多数扩展都是免费的，尽管少数吸引了足够大的忠实拥护者的用户可以为其扩展或与扩展相关的订阅服务付费。但是去年，谷歌宣布将关闭其Chrome网上应用店提供的付费Chrome扩展程序。

阮说，这只会加剧沮丧的开发商转向狡猾的营销公司的报价的问题。

他说：“对于扩展程序开发人员来说，这是一个非常艰难的市场，它能够通过维持扩展程序获利并获得回报，” “许多吨的小型开发人员无法对其扩展进行任何处理。这就是为什么其中一些人会进行幕后集成或以某种价格出售扩展并完成它的原因。”

目前尚不清楚有多少扩展名包含Infatica的代码。 KrebsOnSecurity搜索了扩展，这些扩展调用了与Infatica的Web代理服务相关的多个域（例如，extendbalanc [。] org，ipv4v6 [。] info）。这项研究是使用Nguyen的站点和crxcavator.io（网络巨头思科系统公司拥有的类似扩展研究站点）进行的。

这些搜索显示，过去几年中，Infatica的代码已与至少三打扩展程序相关联，其中包括数个拥有超过100,000个用户的扩展程序。其中之一就是Video Downloader Plus，它一度声称拥有近140万活跃用户。

Infatica的创始人兼董事-俄罗斯比斯克居民，名叫弗拉基米尔·福缅科（Vladimir Fomenko）-没有回应多项置评请求。

Fomenko是iNinja VPN的唯一董事，iNinja VPN是另一项服务，掩盖了其超过40万用户的真实Internet地址。可以说，iNinja VPN不仅为客户提供了一种混淆其Internet地址的方法，而且还积极地使用相同的系统为其他客户路由流量：同名的Chrome浏览器插件和广告拦截器，其代码包括Infatica的“ extenbalanc”域拥有40万用户。

这将使Infatica与另一个有争议的主要VPN /代理提供商的活动保持一致：Luminati，又名“ HolaVPN”。 2015年，安全研究人员发现HolaVPN浏览器扩展程序的用户被用来为其他人分配Web流量。实际上，在上面的屏幕截图中，可以看到Infatica的营销团队将其商业模式与HolaVPN进行了比较。

福门科曾出现在之前的两个KrebsOnSecurity故事中。两者都涉及King Servers（又名“托管解决方案有限公司”），这是他经营多年的托管公司，主要服务于成人网站。

2016年，涉嫌为俄罗斯国家安全局工作的黑客破坏了亚利桑那州和伊利诺伊州选举系统的数据库。 FBI识别为攻击源的八个Internet地址中有六个可以追溯到King Servers。几个月后，在接受《纽约时报》采访时，福缅科断然否认与黑客行为有任何关系。

据俄罗斯每日新闻网Novaya Gazeta报道，有关2016年骇客事件与King Server的关系的消息导致叛国罪名落入俄罗斯最高反网络犯罪组织前副局长谢尔盖·米哈伊洛夫（Sergey Mikhaylov）的指控。

俄罗斯当局指控米哈伊洛夫（Mikhaylov）向联邦调查局（FBI）通报了有关福缅科（Fomenko）和金服务器（King Servers）的信息。在2019年，米哈伊洛夫（Mikhaylov）在刑事殖民地被定罪并判处22年徒刑。

浏览器扩展-安装时可能看起来有用或有趣，通常具有强大的功能，并且可以有效地在浏览会话中读取和/或写入所有数据。授予每个扩展功能的权力大致在其“清单”中阐明，基本上是对将其合并到浏览器后将能够访问的内容的描述。

据Nguyen的chrome-stats.com称，Chrome的所有扩展程序（迄今为止使用最广泛的Web浏览器）中约有三分之一不需要特殊权限。但是其余的要求用户对扩展程序的作者非常信任。例如，大约30％的人可以在所有或特定网站上查看所有数据，或为打开的标签页和浏览活动编制索引。

超过68,000个Chrome扩展程序允许在网页上下文中执行任意代码，从而有效地扩展程序可以更改特定网站的外观和功能。

我希望这一点很明显，但读者在安装扩展程序时应格外谨慎-主要坚持积极支持并响应用户关注的扩展程序。

就个人而言，我没有过多地使用浏览器扩展。在几乎所有情况下，我都考虑过安装该扩展程序，我对请求的权限感到非常震惊，我最终认为这不值得冒险，因为任何扩展都可能因其作者的异想天开而变得无赖。

如果您是使用多种扩展程序的人，那么最好采用基于风险的方法。考虑到安装扩展程序通常会带来很高的风险，请仔细考虑是否拥有扩展程序确实值得。这同样适用于为WordPress和Joomla等网站内容管理系统设计的插件。

如果扩展突然要求比先前版本更多的权限，则不同意更新。这应该是一个巨大的危险信号，表明某些事情不正确。如果您信任的扩展程序发生了这种情况，建议您将其完全删除。

另外，切勿仅由于某些网站说您需要使用它来查看某些类型的内容，而下载并安装扩展程序。 这样做几乎总是高风险的提议。 在这里，KrebsOnSecurity的三项在线安全规则中的规则＃1开始发挥作用：“如果您不想寻找它，请不要安装它。” 最后，如果您确实希望安装某些软件，请确保直接从生产该软件的实体处获得了该软件。 通过单击地址栏右侧的三个点，然后在出现的下拉菜单中选择“更多工具”，然后选择“扩展名”，Google Chrome浏览器用户可以查看已安装的所有扩展名。 在Firefox中，单击地址栏旁边的三个水平条，然后选择“附加组件”，然后在结果页面上单击“扩展”链接以查看所有已安装的扩展。