上周精选推荐的Chrome扩展Geco,表面是4.2星好评的拾色器工具,实际偷偷劫持了230万用户的浏览数据。
连微软商店推荐位都中招,官方审核机制简直形同虚设。
安全团队扒出这根本不是偶然事件。
谷歌商店里还有18个同类型恶意扩展,都是先老实干活再通过更新投毒。
最恶心的是自动更新机制——用户什么都没点,后门就悄无声息装上了。
这种套路叫“沉睡木马”,去年类似事件就坑过30万人。
看看Uvoice、ParrotTalks这些扩展,哪个不是顶着官方认证的帽子?
现在恶意扩展平均潜伏380天,有个叫TeleApp的甚至撑了8年半。
精选推荐榜早成了黑客流量池,评分和下载量全是刷出来的。
平台审核靠邮件验证漏洞就能绕过。
黑客伪造谷歌官方通知,骗开发者授权后直接篡改扩展代码。
用户看着“安全认证”标志,其实早被卖得干干净净。
浏览器同步功能更是个大坑。
恶意扩展诱导开启同步后,密码历史全进黑客口袋。
这种供应链攻击防不胜防,连双重验证都能绕过。
下架?
晚了。
去年12月就爆过四款带毒扩展,半年后照样换个马甲卷土重来。
现在连微软商店精选位都沦陷,普通人还敢信谁?
网友热评:
评分4.2星?细思极恐。
每次装扩展都像抽生死签。
连精选标签都信不过了...
自动更新原来是定时炸弹。
黑客比平台工程师努力多了。
删扩展也没用。
去年被黑的用户到现在还在收钓鱼邮件,数据早被转手八百回。
真正该整顿的是商店审核机制——让8年恶意扩展过审,跟帮凶有什么区别?