安全研究人員 Jamila Kaya 每天都會(huì)檢查一些與線上數(shù)字威脅有關(guān)的內(nèi)容，結(jié)果偶然發(fā)現(xiàn)了針對(duì) Google Chrome 瀏覽器擴(kuò)展程序的大型惡意軟件操作。此事引發(fā)了為期兩個(gè)月的調(diào)查，并導(dǎo)致谷歌清理了網(wǎng)上應(yīng)用店的 500 多款擴(kuò)展程序。遺憾的是，已經(jīng)有超過 170 萬名 Chrome 用戶安裝了她發(fā)現(xiàn)的首批問題擴(kuò)展。

在新發(fā)布的報(bào)告中，其揭示了幕后是一場(chǎng)持續(xù)至少兩年、且相當(dāng)活躍的大規(guī)模惡意軟件行為。

Jamila Kaya 在第一時(shí)間向思科 Duo 安全團(tuán)隊(duì)取得了聯(lián)系，詢問了與 Chrome 擴(kuò)展程序相關(guān)的諸多問題。

結(jié)果發(fā)現(xiàn)這些擴(kuò)展感染了瀏覽器，涉及某些較大型活動(dòng)的部分?jǐn)?shù)據(jù)泄露。

報(bào)告指出，這些擴(kuò)展通常以‘廣告即服務(wù)’的形式呈現(xiàn)。Jamila 發(fā)現(xiàn)它們是山寨插件網(wǎng)絡(luò)的一部分，且其擁有幾乎相同的功能。

通過合作，安全人員借助 CRXcavator.io 對(duì)幾十款擴(kuò)展進(jìn)行了研究，最終在 170 萬用戶中識(shí)別出了 70 個(gè)與之匹配的模式，然后向谷歌匯報(bào)了相關(guān)問題。

Duo 團(tuán)隊(duì)補(bǔ)充道：“別有居心者越來越多地披上了合法的外衣，以掩蓋其在互聯(lián)網(wǎng)上的惡意行為”。

被濫用最多的，就是廣告 Cookie 的使用和其中的重定向。作為一種‘惡意廣告’技術(shù)，其很難被外界所發(fā)現(xiàn)。

惡意廣告經(jīng)常在其它程序中出現(xiàn)，且形式相當(dāng)多樣，包括廣告欺詐、數(shù)據(jù)泄露、網(wǎng)絡(luò)釣魚、以及監(jiān)視和利用。

在涉及廣告手機(jī)和欺詐的大多數(shù)惡意活動(dòng)中，也經(jīng)常能夠見到它的身影。 

據(jù)悉，這些惡意擴(kuò)展中的代碼，有時(shí)會(huì)將用戶重定向道百思買或梅西百貨等網(wǎng)站的返利鏈接、或者可能托管了惡意軟件的站點(diǎn)。

在將問題上報(bào)后，谷歌方面也給出了回應(yīng)。該公司發(fā)言人稱，谷歌會(huì)在發(fā)現(xiàn)違反政策的問題時(shí)發(fā)出警告并采取行動(dòng)。

此外，該公司還會(huì)定期執(zhí)行發(fā)起掃描，以檢查擴(kuò)展程序中是否包含類似的技術(shù)和代碼濫用.