Фон

3 июня 2024 года пользователь Twitter @CryptoNakamao поделились своим опытом потери 1 миллиона долларов из-за загрузки вредоносного расширения Chrome Aggr, вызвав беспокойство среди криптосообщества относительно рисков расширений и безопасности собственных активов. 31 мая команда по безопасности SlowMist опубликовала анализ под названием «Волк в овечьей шкуре | Анализ ложных расширений Chrome, крадущих», детализирующий вредоносные действия расширения Aggr. Учитывая недостаток знаний у пользователей о браузерных расширениях, главный информационный безопасности SlowMist, 23pds, использовал формат вопросов и ответов в статье, чтобы объяснить основы и потенциальные риски расширений. Они также предложили рекомендации по смягчению рисков расширений, нацеленные на помощь отдельным пользователям и торговым платформам в улучшении безопасности своих учетных записей и активов.

(https://x.com/im23pds/status/1797528115897626708)

Q&A

1. Что такое расширения Chrome?

Расширение Chrome - это плагин, разработанный для Google Chrome, чтобы расширить функциональность и поведение браузера. Эти расширения могут настраивать пользовательский опыт просмотра, добавлять новые функции или содержимое и взаимодействовать с веб-сайтами. Расширения Chrome обычно создаются с использованием HTML, CSS, JavaScript и других веб-технологий. Структура расширения Chrome обычно включает следующие компоненты:

1. manifest.json: Файл конфигурации расширения, определяющий основную информацию, такую как имя, версия, разрешения и т. д.
2. Сценарии фона: Сценарии, которые запускаются в фоновом режиме браузера, обрабатывают события и долгосрочные задачи.
3. Сценарии контента: Сценарии, запускаемые в контексте веб-страниц, позволяющие непосредственное взаимодействие с веб-страницами.
4. Интерфейс пользователя (UI): Включает элементы, такие как кнопки панели инструментов браузера, всплывающие окна, страницы параметров и т. д.

2. Что делают расширения Chrome?

1. Ad Blockers: Расширения, которые могут перехватывать и блокировать рекламу на веб-страницах, тем самым улучшая скорость загрузки страниц и пользовательский опыт. Примеры включают в себя AdBlock и uBlock Origin.
2. Конфиденциальность и безопасность: Некоторые расширения повышают конфиденциальность и безопасность пользователя, предотвращая отслеживание, шифруя коммуникации, управляя паролями и т. д. Примеры включают в себя Privacy Badger и LastPass.
3. Инструменты продуктивности: Расширения, которые помогают пользователям повысить производительность, такие как управление задачами, ведение заметок, отслеживание времени и т. д. Примеры включают Todoist и Evernote Web Clipper.
4. Инструменты разработчика: Инструменты для веб-разработчиков, обеспечивающие отладку и возможности разработки, такие как проверка структур веб-страниц, отладка кода, анализ сетевых запросов и т. д. Примеры включают React Developer Tools и Postman.
5. Социальные медиа и коммуникации: Расширения, интегрирующие инструменты социальных медиа и коммуникации, позволяющие пользователям обрабатывать уведомления социальных медиа, сообщения и т. д. во время просмотра. Примеры включают Grammarly и Facebook Messenger.
6. Настройка веб-сайта: пользователи могут настраивать внешний вид и поведение веб-страниц с помощью расширений, таких как изменение тем, перестановка элементов страницы, добавление дополнительных функций и т. д. Примеры включают Stylish и Tampermonkey.
7. Задачи автоматизации: Расширения, которые помогают автоматизировать повторяющиеся задачи, такие как заполнение форм, пакетная загрузка файлов и т. д. Примеры включают iMacros и DownThemAll.
8. Перевод языка: Некоторые расширения могут переводить контент веб-страниц в реальном времени, помогая пользователям понимать веб-страницы на разных языках, подобно Google Translate.
9. Помощь в криптовалюте: Расширения, упрощающие опыт торговли криптовалютой для пользователей, такие как MetaMask, и т. д.

Гибкость и разнообразие расширений Chrome позволяют применять их в практически любой ситуации при просмотре, что помогает пользователям выполнять задачи более эффективно.

3. Какие разрешения есть у расширения Chrome после его установки?

После установки расширения Chrome может потребовать ряд разрешений для выполнения определенных функций. Эти разрешения объявляются в файле manifest.json расширения и запрашивают подтверждение у пользователей во время установки. Обычные разрешения включают:

1. <all_urls>: Позволяет расширению получать доступ к контенту со всех веб-сайтов. Это широкое разрешение позволяет расширению читать и изменять данные на всех веб-сайтах.
2. вкладки: Позволяет расширению получать доступ к информации о вкладках браузера, включая доступ к текущим открытым вкладкам, создание и закрытие вкладок и т. д.
3. activeTab: Позволяет расширению временный доступ к текущей активной вкладке, обычно используется для выполнения определенных действий при нажатии пользователем кнопки расширения.
4. хранение: Позволяет расширению использовать API хранилища Chrome для хранения и извлечения данных. Это можно использовать для сохранения настроек расширения, пользовательских данных и т. д.
5. cookies: Позволяет расширению получать доступ к файлам cookie и изменять их в браузере.
6. webRequest и webRequestBlocking: Позволяет расширению перехватывать и изменять сетевые запросы. Эти разрешения часто используются в расширениях для блокировки рекламы и защиты конфиденциальности.
7. закладки: Позволяет расширению получать доступ к закладкам браузера и их изменению.
8. история: Позволяет расширению получить доступ к и изменить историю браузера.
9. уведомления: Позволяет расширению отображать уведомления на рабочем столе.
10. contextMenus: Позволяет расширению добавлять пользовательские пункты меню в контекстное меню браузера (меню правой кнопки мыши).
11. геолокация: Позволяет расширению получить доступ к информации о географическом местоположении пользователя.
12. clipboardRead и clipboardWrite: Позволяет расширению читать из буфера обмена и записывать в него.
13. загрузки: Позволяет расширению управлять загрузками, включая запуск, приостановку и отмену загрузок.
14. управление: Позволяет расширению управлять другими расширениями и приложениями в браузере.
15. фон: Позволяет расширению выполнять длительные задачи в фоновом режиме.
16. уведомления: Позволяет расширению отображать системные уведомления.
17. webNavigation: Позволяет расширению отслеживать и изменять поведение навигации браузера.

Эти разрешения позволяют расширениям Chrome выполнять множество мощных и разнообразных функций, но также означают, что расширения могут получить доступ к чувствительным данным пользователей, таким как файлы cookie, информация об аутентификации и многое другое.

4. Почему злонамеренные расширения Chrome могут красть разрешения пользователей?

Злонамеренные расширения Chrome могут использовать запрашиваемые разрешения для кражи учетных данных пользователей и информации об аутентификации, поскольку эти расширения имеют прямой доступ к браузерной среде и данным пользователя и могут их изменять.

1. Широкий доступ: Злонамеренные расширения часто запрашивают обширные разрешения, такие как доступ ко всем веб-сайтам (), чтение и изменение вкладок браузера (вкладки) и доступ к хранилищу браузера (хранилище). Эти разрешения позволяют злонамеренным расширениям широко получать доступ к активностям и данным пользователей во время просмотра веб-страниц.
2. Манипулирование сетевыми запросами: Злонамеренные расширения могут использовать разрешения webRequest и webRequestBlocking для перехвата и изменения сетевых запросов, тем самым крадя аутентификационные данные пользователей и чувствительную информацию. Например, они могут перехватывать данные формы при входе пользователей на веб-сайты для получения имен пользователей и паролей.
3. Чтение и запись содержимого страницы: С помощью контент-скриптов зловредные расширения могут встраивать код в веб-страницы для чтения и изменения содержимого страницы. Это означает, что они могут красть любые данные, введенные пользователями на веб-страницах, такие как информацию форм и поисковые запросы.
4. Доступ к хранилищу браузера: Вредоносные расширения могут использовать разрешения на хранение для доступа и сохранения локальных данных пользователей, включая хранилище браузера, которое может содержать чувствительную информацию (например, LocalStorage и IndexedDB).
5. Управление буфером обмена: С разрешениями на чтение буфера обмена и запись в буфер обмена злоумышленные расширения могут читать и записывать содержимое буфера обмена пользователей, таким образом, крадя или подделывая информацию, скопированную и вставленную пользователями.
6. Спрятавшись под видом законных веб-сайтов: Зловредные расширения могут маскироваться под законные веб-сайты, модифицируя содержимое браузера или перенаправляя пользователей на поддельные страницы, обманывая пользователей и заставляя их вводить чувствительную информацию.
7. Запуск в фоновом режиме на протяжении длительных периодов: Зловредные расширения с разрешениями на работу в фоновом режиме могут работать непрерывно на заднем плане, даже когда пользователи не активно используют их. Это позволяет им отслеживать действия пользователей на протяжении длительных периодов и собирать большие объемы данных.
8. Манипулирование загрузками: Используя разрешения на загрузку, вредоносные расширения могут загружать и выполнять вредоносные файлы, дополнительно подвергая опасности безопасность системы пользователя.

5. Почему жертвы этого вредоносного расширения были обокрадены в своих разрешениях и их средства были подвергнуты компрометации?

Поскольку этот злонамеренный Aggr extension случайно получил фоновую информацию, о которой мы только что говорили, вот фрагмент раздела разрешений из его файла manifest.json:

1. Печенье
2. вкладки
4. хранение

6. Что может сделать зловредное расширение Chrome после кражи куки пользователей?

1. Доступ к учетным записям: Вредоносные расширения могут использовать украденные файлы cookie для имитации входа пользователя на платформы торговли криптовалютами, тем самым получая доступ к информации учетной записи пользователей, включая балансы и историю транзакций.
2. Проведение транзакций: Украденные куки могут позволить зловредным расширениям проводить транзакции без согласия пользователя, покупать или продавать криптовалюты или передавать активы на другие счета.
3. Вывод средств: Если файлы cookie содержат информацию о сеансе и аутентификационные токены, вредоносные расширения могут обойти двухфакторную аутентификацию (2FA) и инициировать вывод средств, переводя криптовалюты пользователей на кошельки, контролируемые злоумышленниками.
4. Доступ к чувствительной информации: Злоумышленные расширения могут получать доступ к сбору чувствительной информации в учетных записях торговой платформы пользователей, такой как аутентификационные документы и адреса, потенциально используемые для дальнейшей кражи личности или мошеннических действий.
5. Изменение настроек учетной записи: Злоумышленные расширения могут изменять настройки учетных записей пользователей, такие как привязанные адреса электронной почты и номера телефонов, дополнительно управляя учетными записями и крадя больше информации.
6. Выдача себя за пользователей для атак методом социальной инженерии: Использование учетных записей пользователей для атак методом социальной инженерии, таких как отправка мошеннических сообщений контактам пользователей, склонение их к небезопасным операциям или предоставление более чувствительной информации.

Ответы

Увидев это, многие пользователи могут задаться вопросом: "Что мне делать? Стоит ли мне просто отключиться от Интернета и вообще перестать им пользоваться? Следует ли мне использовать отдельный компьютер для операций? Следует ли мне избегать входа на платформы через веб-страницы?" В интернете существует много экстремальных предложений, но на самом деле мы можем научиться разумно предотвращать подобные риски:

Меры по смягчению для частных пользователей:

1. Повышение осведомленности о личной безопасности: Первым предупредительным советом является повышение осведомленности о личной безопасности и поддержание скептического отношения во все времена.
2. Устанавливайте расширения только из надежных источников: устанавливайте расширения из Chrome Web Store или других надежных источников, читайте отзывы пользователей и запросы разрешений, и избегайте предоставления ненужных разрешений на доступ к расширениям.
3. Используйте безопасную среду просмотра: избегайте установки расширений из неизвестных источников, регулярно проверяйте и удаляйте ненужные расширения, рассмотрите возможность использования разных браузеров для изоляции просмотра плагинов и финансовых транзакций.
4. Регулярно отслеживайте активность аккаунта: Регулярно проверяйте активность входа в учетную запись и записи транзакций, и немедленно принимайте меры при обнаружении подозрительного поведения.
5. Не забудьте выйти: После использования веб-платформ не забудьте выйти. Многие люди склонны не обращать внимание на нажатие кнопки «выйти» после завершения операций на платформе для удобства, что создает угрозы безопасности.
6. Используйте аппаратные кошельки: Для крупных активов используйте аппаратные кошельки для хранения с целью улучшения безопасности.
7. Настройки браузера и средства безопасности: используйте безопасные настройки браузера и расширения (такие как блокировщики рекламы и средства защиты конфиденциальности), чтобы уменьшить риск вредоносных расширений.
8. Используйте программное обеспечение безопасности: Установите и используйте программное обеспечение безопасности для обнаружения и предотвращения вредоносных расширений и других вредоносных программ.

Финальные рекомендации по управлению рисками для платформ: Путем внедрения этих мер пользовательские торговые платформы могут снизить риски безопасности, создаваемые зловредными расширениями Chrome для пользователей:

Обеспечьте использование двухфакторной аутентификации (2FA):

• Включить 2FA глобально: Требовать от всех пользователей включения двухфакторной аутентификации (2FA) для входа и важных операций (таких как торговля, размещение ордеров и вывод средств), обеспечивая, что даже если куки пользователя были украдены, злоумышленники не смогут легко получить доступ к учетной записи.

• Множество методов аутентификации: Поддержка нескольких методов 2FA, таких как SMS, email, Google Authenticator и аппаратные токены.

Управление сеансами и безопасность:

• Управление устройствами: предоставление пользователям возможности просматривать и управлять вошедшими в систему устройствами, позволяя им в любое время выходить из сеансов с непризнанных устройств.

• Тайм-аут сеанса: Реализуйте политики тайм-аута сеанса для автоматического выхода из неактивных сеансов, снижая риск захвата сеанса.

• Мониторинг IP-адреса и геолокации: Обнаружение и оповещение пользователей о попытках входа с необычных IP-адресов или геолокаций, и блокировка этих входов при необходимости.

Улучшить настройки безопасности аккаунта:

• Уведомления о безопасности: Своевременно уведомляйте пользователей о важных действиях, таких как вход в учетную запись, изменение пароля и вывод средств по электронной почте или SMS, чтобы предупредить пользователей о подозрительной активности.

• Функция замораживания учетной записи: Предоставьте пользователям возможность быстро замораживать свои учетные записи в аварийных ситуациях для контроля ущерба.

Усилить системы мониторинга и контроля рисков:

• Обнаружение аномального поведения: Используйте машинное обучение и анализ больших данных для мониторинга поведения пользователей, выявления аномальных торговых паттернов и активностей учетной записи, а также своевременного вмешательства в управление рисками.

• Предупреждения о рисках: Оповещайте и ограничивайте подозрительные действия, такие как частые изменения информации об учетной записи или частые неудачные попытки входа в систему.

Предоставлять образование по безопасности и инструменты для пользователей:

• Образование в области безопасности: Распространение знаний о безопасности среди пользователей через официальные аккаунты в социальных сетях, электронную почту, уведомления на платформе и т. д., повышение осведомленности о рисках браузерных расширений и способах защиты своих учетных записей.

• Инструменты безопасности: Предоставьте официальные браузерные плагины или расширения, чтобы помочь пользователям улучшить безопасность учетной записи и обнаруживать и оповещать пользователей о потенциальных угрозах безопасности.

Заключение

Честно говоря, с технической точки зрения, внедрение упомянутых ранее мер по контролю рисков не всегда является лучшим подходом. Необходимо балансировать безопасность и потребности бизнеса; слишком большое внимание к безопасности может ухудшить пользовательский опыт. Например, требование двухфакторной аутентификации при размещении заказа может заставить многих пользователей отключить ее для более быстрых транзакций. Это удобство для пользователей также выгодно хакерам, поскольку украденные куки могут позволить им манипулировать сделками и подвергнуть опасности активы пользователей. Поэтому различные платформы и пользователи могут требовать разных подходов к управлению рисками. Найти баланс между безопасностью и бизнес-целями зависит от платформы, и важно, чтобы платформы придавали приоритет как пользовательскому опыту, так и защите учетных записей и активов пользователей.

Disclaimer：

1. Эта статья перепечатана с [ PANews]. Все авторские права принадлежат оригинальному автору [Технология медленного тумана]. Если есть возражения по поводу этого перепечатывания, пожалуйста, свяжитесь с Gate Учитькоманда, и они оперативно справятся с этим.
2. Отказ от ответственности: Взгляды и мнения, выраженные в этой статье, являются исключительно мнением автора и не являются инвестиционными советами.
3. Переводы статьи на другие языки выполняются командой Gate Learn. Если не указано иное, копирование, распространение или плагиат переведенных статей запрещены.