聲明：該文章由作者（ksbugs-so）發(fā)表，轉載此文章須經作者同意并請附上出處(0XUCN)及本頁鏈接。。

近日，據路透社報道，安全公司Awake Security的研究人員新發(fā)現(xiàn)，瀏覽器市場的老大Chrome成了間諜軟件的“批發(fā)市場”，大量包含間諜軟件的Chrome擴展插件已經被下載了超過3200萬次。

該事件暴露了科技行業(yè)最重要的產品之一——Chrome瀏覽器存在嚴重安全問題，直接威脅到全球互聯(lián)網用戶的隱私和信息安全，因為瀏覽器更多地被用于處理電子郵件、財務等敏感信息。

Alphabet公司旗下的Google表示，在上個月受到研究人員的警告后，已從其官方的Chrome網上應用店中刪除了70多個惡意加載項。

Google發(fā)言人Scott Westover告訴路透社：

當我們收到Chrome應用商店中違反安全政策的擴展程序的警報時，我們立刻采取行動并將這些事件當作反面教材，以改進我們的自動化和手動分析工作。

根據下載量，Awake聯(lián)合創(chuàng)始人兼首席科學家Gary Golomb表示，?這是迄今為止影響最廣的Chrome應用商店惡意軟件活動。

對于擁有強大安全團隊和安全流程的Google公司來說，大規(guī)模的Chrome惡意插件為整個科技行業(yè)都敲響了警鐘——傳統(tǒng)網絡安全技術和流程存在短板和盲區(qū)，同時?該事件也可看作是人工智能安全技術的一次里程碑式的突破。

目前，Google拒絕討論此次大規(guī)模間諜軟件傳播事件導致的破壞性后果和廣度，也沒有解釋為何過去幾年承諾會更緊密地監(jiān)督產品安全問題，但這次卻沒有檢測并刪除官方應用商店中如此之多的惡意插件。

盡管惡意瀏覽器擴展問題已經存在多年，但情況正變得越來越糟，這些插件最初只是彈出一些流氓廣告，但現(xiàn)在將興趣轉向了安裝其他惡意程序或跟蹤用戶，從事著政府或商業(yè)間諜所做的工作。

據Awake方面的消息，目前尚不清楚這些惡意軟件背后的操縱者，惡意插件的開發(fā)人員在向Google提交擴展程序時提供了虛假的聯(lián)系信息。

創(chuàng)建國家安全公司Carbon Black and Obsidian Security的前美國國家安全局工程師Ben Johnson說：“任何能夠滲透某人瀏覽器或電子郵件等敏感區(qū)域的技術/活動，都會成為國家間諜活動和有組織犯罪的重大目標?！?/p>

Awake首席科學家Golomb說：

這些擴展經過精心設計，能夠繞過防病毒公司或Web安全軟件的檢測。

研究人員發(fā)現(xiàn)，如果有人使用家用計算機瀏覽器上網，惡意軟件將悄悄連接到一系列網站并傳輸信息。而如果用戶使用公司網絡（包括安全服務）則瀏覽器惡意軟件將保持靜默不會傳輸敏感信息，甚至不會訪問這些惡意網站。

Golomb說：“這表明攻擊者可以使用極其簡單的方法來隱藏數千個惡意網站?！?/p>

在通報該事件后，Awake還發(fā)布了相關研究報告，包括惡意域名和Chrome擴展插件列表。

https://awakesecurity.com/blog/the-internets-new-arms-dealers-malicious-domain-registrars

報告指出，所有惡意域名（超過15,000個互聯(lián)鏈接）都是從以色列的一個小型域名注冊商Galcomm那里購買的，該公司正式注冊名稱為CommuniGal CommunicationLtd。

負責注冊服務商的互聯(lián)網名稱與數字地址分配機構（Internet Corp for Assigned Names and Numbers）表示，多年來，該公司幾乎沒有收到關于Galcomm的投訴，也沒有收到有關惡意軟件的投訴。

惡意軟件開發(fā)人員長期以來一直使用Google的Chrome商店作為重要渠道。2018年，面對高達10%的插件都是惡意插件的事實，Google曾表示將通過增加人工審核進一步提高安全性。

但暴露此次Chrome大規(guī)模間諜軟件插件問題的，卻是Awake的人工智能安全技術。這對于人工智能的領導者Google來說，多少有些讓人感到尷尬。

其實早在今年二月份，Chrome就曾曝出過類似的Chrome安全問題。獨立研究員賈米拉·卡亞（Jamila Kaya）和思科系統(tǒng)公司的Duo Security 也曾發(fā)現(xiàn)Chrome瀏覽器惡意軟件活動，竊取了大約170萬Chrome用戶的數據。Google當時參加了調查，結果發(fā)現(xiàn)了500個欺詐性擴展。

轉載自：安全牛

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數據與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/