140万用户使用恶意Cookie填充谷歌扩展程序

已经发现五个伪装成 Netflix 观众和其他人的谷歌 Chrome 网络浏览器的冒名顶替扩展程序来跟踪用户的浏览活动和零售联盟计划的利润。

“这些扩展提供了各种功能，例如使用户能够一起观看 Netflix 节目、网站优惠券以及截取网站的屏幕截图，”迈克菲研究人员 Oliver Devane 和 Vallabh Chole说。“后者从另一个名为 GoFullPage 的流行扩展中借用了几个短语。”

有问题的浏览器插件（可通过 Chrome 网上应用店获得并下载 140 万次）如下：

• Netflix 派对 (mmnbenehknklpbendgmgngeaignppnbe) - 800,000 次下载
• Netflix 派对 (flijfnhifgdcbhglkneplegafminjnhn) - 300,000 次下载
• FlipShope – 价格跟踪器扩展 (adikhbfjdbjkhelbdnffogkobkekkkej) - 80,000 次下载
• 整页截图捕获 – 截图 (pojgkmkfincpdkdgjepkmdekcahmckjp) - 200,000 次下载
• AutoBuy 闪购 (gbnahglfafmhaehbdmjedfhdmimjcbed) - 20,000 次下载

这些扩展旨在加载一段 JavaScript，该 JavaScript 负责密切关注所访问的网站，并将恶意代码注入电子商务门户网站，让攻击者通过附属程序为受害者购买的商品赚钱。

“访问的每个网站都被发送到扩展创建者拥有的服务器，”研究人员指出。“他们这样做是为了将代码插入正在访问的电子商务网站。此操作会修改网站上的 cookie，以便扩展作者收到购买的任何商品的附属付款。”

还包含一种技术，可将恶意活动从安装扩展程序之时起延迟 15 天，以避免引发危险信号。

调查结果是在 2022 年 3 月发现13 个 Chrome 浏览器扩展程序之后发现的，这些扩展程序将美国、欧洲和印度的用户重定向到网络钓鱼网站并泄露敏感信息。

在撰写本文时，四个扩展程序中的三个仍然可以在网上商店获得，Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) 是唯一需要清除的附加组件。

建议已安装扩展程序的用户手动将其从 Chrome 浏览器中删除，以降低进一步的风险。

 谷歌浏览器从2023年1月起将不再支持广告屏蔽扩展程序 

细心的Reddit用户在一份给开发者的文件中发现，从2023年1月起，所有浏览器扩展将被切换到新版本的 Manifest V3 API。这个版本的API特意取消了阻止网络请求的能力。

从2023年1月起，浏览器中只支持 Manifest V3 扩展程序，导致扩展程序变成了小玩具，广告拦截器也失去了效力。

uBlock Origin、uMatrix 和 NoScript 这些被认为很有必要安装的隐私保护扩展程序都会失败。这意味着谷歌广告现在将是不可避免的。屏蔽广告的能力将只保留给企业客户。