你喜欢下载 Chrome 的免费扩展功能吗?俗话说:“免费的最贵”,可能要当心个人资料是否就这样悄悄拱手送给他人了。
根据《路透社》报道,网络安全公司 Awake Security 研究人员发现,最近有新的间谍软件(spyware)会透过目前已被下载的 3200 万个 Google Chrome 浏览器扩展程序来攻击使用者。
他们还指出,科技相关产业并未重视浏览器的安全议题,偏偏使用者又常常透过浏览器来收发 E-mail 、下载薪资明细或使用其他个人资料敏感功能。
所谓的间谍软件,指的是未经用户同意下,就自行搜集用户个人资料的恶意软件。Awake Security 联合创办人暨首席科学家 Gary Golomb 表示,这是迄今为止对 Chrome 影响最广泛的恶意行为,但目前还不清楚最初的分发源头是谁,因为这些开发人员当初交提交Google 扩展程序时,所提供的相关联系方式都是假的。
Google 表示,在接收到警告后,已经于上个月从官方 Chrome 线上应用程序商店下架 70 多个恶意下载程序。发言人也表示,会将这些近期事件作为训练素材,强化 Google 的自动化和手动分析;但 Google 拒绝回应其他问题,也不回复为何未自行检测并下架这些恶意扩充程序。
根据 Awake Security 所发布报告,这些有问题的域名都是向以色列一家小型注册公司 Galcomm 所购买。然而,Galcomm 负责人 Moshe Fogel 则在信件回复中表示,公司并没有参与这些恶意行为,反而常与执法安全机构合作,也在知情后请 Awake Security 提供可疑域名名称列表。
当 Awake Security 发表报告并列出所有可疑域名后, Moshe Fogel 表示这些域名使用情况几乎都不活跃,也会继续调查其他域名。
负责管理域名注册的因特网名称与号码指配组织(ICANN)也表示,截至目前为止,很少收到与 Galcomm 有关的投诉;就算偶尔有,也都与恶意软件无关。
近年,欺骗性的扩展程序愈来愈猖狂。最初,它们还只是以“免费”为名,悄悄地取用你的浏览历史数据,并不断推播无关广告;后来则开始为虎作怅,替政府或商业单位追踪用户所在位置、一举一动等,严重侵犯个人隐私。
而这些恶意软件的开发者,几乎都把 Chrome 线上应用程序商店作为长期发布管道。而从 2018 年起,Google 也承诺将提高人工审核以强化安全保护。
俗话说:“免费的最贵”。在享受免费下载各种扩充程序时,可能要当心你我的个人资料,是否就这样悄悄拱手送给有心人士了。
来源:子骏VLOG
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!