책임자들은 웹 브라우저 개발 Chrome은 "건강한"환경을 유지하기 위해 노력하고 있습니다. 브라우저 애드온 스토어 내에서 그리고 새로운 Google Manifest V3의 통합 이후, 다양한 보안 변경 사항이 구현되었습니다. 특히 많은 애드온에서 광고를 차단하는 데 사용되는 API 차단으로 인해 발생한 논란이 있습니다.
이 모든 작업은 다른 결과로 요약되었습니다. 그중 다수의 악성 애드온 차단이 공개되었습니다. Chrome 스토어에서 찾을 수 있습니다.
첫 번째 단계에서 독립적 인 수사관은 Jamila Kaya와 Duo Security 회사는 처음에는 "합법적 인"방식으로 작동하는 다양한 Chomre 확장을 식별했습니다. 하지만이 코드의 심층 분석에서 백그라운드에서 실행중인 작업이 감지되었습니다. 그중 많은 사람들이 사용자 데이터를 추출했습니다.
Cisco Duo Security는 Chrome 확장 프로그램이 조직에 제공 할 위험을 줄이고 다른 사람들이 모든 사람을 위해 더 안전한 생태계 Chrome 확장 프로그램을 만들기위한 연구를 개발할 수 있도록 Google의 자동화 된 Chrome 확장 보안 평가 도구 인 CRXcavator를 작년에 무료로 출시했습니다.
Google에 문제를 신고 한 후 카탈로그에서 430 개 이상의 애드온을 찾았습니다., 설치 수가보고되지 않았습니다.
인상적인 시설 수에도 불구하고 문제가있는 플러그인 중 사용자 리뷰가 없습니다., 플러그인 설치 방법 및 악성 활동이 눈에 띄지 않게 된 방법에 대한 질문으로 이어집니다.
지금, 문제가있는 모든 플러그인이 Chrome 웹 스토어에서 제거됩니다. 연구원들에 따르면 차단 된 플러그인과 관련된 악성 활동은 2019 년 2017 월부터 진행되고 있지만 악성 행위를 수행하는 데 사용 된 개별 도메인은 XNUMX 년에 기록되었습니다.
Jamila Kaya는 CRXcavator를 사용하여 Google 크롬 사기 탐지를 회피하면서 사용자를 감염시키고 악성 광고를 통해 데이터를 추출한 대규모 카피 캣 Chrome 확장 프로그램 캠페인을 발견했습니다. Duo, Jamila 및 Google은 이러한 확장 프로그램 및 이와 유사한 확장 프로그램을 즉시 찾아서 제거하기 위해 협력했습니다.
대부분의 제품을 홍보하는 도구로 악성 애드온이 제시되었습니다. 광고 서비스에 참여합니다 (사용자는 광고를보고 공제를받습니다). 또한 요청 된 사이트를 표시하기 전에 문자열로 표시된 페이지를 열 때 광고 사이트로 리디렉션하는 기술을 사용했습니다.
모든 플러그인은 동일한 기술을 사용하여 악성 활동을 숨겼습니다. Chrome 웹 스토어의 플러그인 확인 메커니즘을 우회합니다.
모든 플러그인의 코드는 각 플러그인에 고유 한 함수 이름을 제외하고 소스 수준에서 거의 동일했습니다. 악성 로직은 중앙 관리 서버에서 전송되었습니다.
처음에는 플러그인 이름과 동일한 이름을 가진 도메인에 연결된 플러그인 (예 : Mapstrek.com) 추가 작업을 위해 스크립트를 제공 한 관리 서버 중 하나로 리디렉션되었습니다.
수행 된 조치 중 플러그인을 통해 기밀 사용자 데이터 다운로드 찾기 외부 서버에 악성 사이트로 전달하고 악성 애플리케이션 설치 승인 (예를 들어 컴퓨터 감염에 대한 메시지가 표시되고 바이러스 백신 또는 브라우저 업데이트를 가장하여 맬웨어가 제공됩니다.)
리디렉션 된 도메인에는 오래된 브라우저를 악용하는 다양한 피싱 도메인 및 사이트가 포함됩니다. 수정되지 않은 취약점이 포함 된 경우 (예 : 암호를 가로 채고 클립 보드를 통한 기밀 데이터 전송을 분석하는 악성 프로그램을 설치하려는 악용 시도 후)
노트에 대해 더 알고 싶다면 원본 간행물을 참조하십시오. 다음 링크에서.