沙虫科技网logo.png沙虫科技网

沙虫科技网
提供IT业界的新鲜事、奇趣事和热门焦点,掌控最热最新的互联网新闻、科技新闻和IT业界动态。
沙虫科技网

Chrome扩展程序劫持了用户的搜索引擎结果

谷歌昨天从官方网上商店删除了一个Chrome扩展程序,用于秘密劫持搜索引擎查询并将用户重定向到广告出现的搜索结果。

该扩展程序的名称是“ YouTube Queue ”,当它从Web商店中删除时,已被近7,000名用户安装。

该扩展程序允许用户按照他们想要的顺序排列多个YouTube视频,以便日后查看。

扩展在6月初变成了广告软件

但在幕后,它还拦截了搜索引擎查询,通过Croowila URL重定向查询,然后将用户重定向到名为Information Vine的自定义搜索引擎,该搜索引擎列出了相同的Google搜索结果,但大量注入了广告和联盟链接。

用户开始注意到扩展的黑幕行为,近两个星期前,当第一次报告Reddit上浮出水面,其次是两个,几天后[ 1,2 ]。

在微软边缘工程师(以及前谷歌Chrome开发人员)Eric Lawrence在Twitter上指出扩展程序的搜索引擎劫持功能后,该扩展程序昨天从Web Store中删除。

开发商悄然出售了扩展

在接受The Register的采访时,该扩展程序的开发人员声称他没有参与,并且他之前将该扩展程序出售给了一个名为Softools的实体,这是一个着名的Web应用程序平台的名称。

在以下来自The Register的调查中,Softools否认参与了扩展的开发,更不用说恶意代码了。

恶意实体提供购买Chrome扩展程序,然后向源添加恶意代码的做法并不是一个新的实践。

此类事件最早于2014年首次出现,最近2017年,当一个不知名的派对购买了三个合法的扩展程序(Particle for YouTube,Typewriter Sounds和Twitch Mini Player)并重新利用它们在热门网站上注入广告。

在2017年的推文中,DuckDuckGo软件工程师Konrad Dzwinel和SnappySnippet,Redmine问题检查器,DOMListener和CSS-Diff Chrome扩展程序的作者表示,他通常会收到每周销售扩展程序的查询。

我每周都会得到这样的命题。他们也提供了很多钱。

- Konrad Dzwinel(@kdzwinel)2017年7月13日

在2019年2月的一篇博客文章中,反病毒制造商卡巴斯基警告用户在进行浏览器安装之前,“做一些研究以确保扩展没有被劫持或出售”。

开发人员在没有通知用户的情况下悄悄地销售他们的扩展程序,以及针对其Chrome网上应用店帐户的针对鱼叉式网络钓鱼活动的开发人员,目前是恶意软件帮派接管合法Chrome扩展程序以在用户浏览器中植入恶意代码的两种主要方法。

来到广告拦截器辩论

此外,Lawrence指出,YouTube Queue扩展程序流氓的案例是一个完美的例子,显示恶意威胁行为者滥用Web Request API来做坏事。

这与大多数广告拦截器使用的API相同,而Google正试图用名为Declarative Net Request API的更加眩晕的API替换它。

[Alt Text:浏览器扩展程序滥用webRequestBlocking API,并将用户的搜索查询从HTTPS网站重定向到使用不安全的HTTP的广告中的意外搜索引擎。

不过,谷歌上周表示,自2018年1月以来,该公司在Chrome网上应用店检测到的所有恶意扩展程序中有42%以某种方式滥用了Web请求API - 而YouTube Queue扩展就是一个例子。

在一个单独的Twitter帖子中,Chrome安全工程师Justin Schuh再次指出,Google更换旧Web请求API的主要目的是隐私和安全驱动,而不是其他任何东西,如性能或广告拦截器,该公司也正式在上周博客文章。

相关推荐