【上樑不正下樑歪】Chrome存入侵漏洞 擴充套件扮中介
日前,Google 呼籲所有 Windows、Mac 及 Linux 用戶立即更新 Google Chrome 至 77.0.3865.90 版本,以修補一個嚴重及 3 個高危威脅,涉及 use-after-free 使用已釋放記憶體漏沮,黑客可以遙距於目標系統執行任意程式碼及阻斷服務,受害用戶只須開啟或被引導至特定網頁,即可以觸發攻擊而毋須再有任何互動。
唔單只 Chrome 出事,擴充套件亦有問題。近日,網絡安全公司 Adguard 研究員發現兩款極之衰格嘅喬裝外掛,竟然冒充非常多人用嘅廣告封鎖套件 AdBlock 及 uBlock。個名同真身幾乎一模一樣,叫 AdBlock by AdBlock, Inc 及 uBlock by Charlie Lee,分別已經有 80 萬及 85 萬個下載紀錄,仲有 4.5 粒與 5 粒星評價,有冇搞錯。最衰嘅,係兩個喬裝外掛啟動之後,真係扮演廣告封鎖中介,只不過 55 個鐘之後就現真身,偷偷地進行 Cookie Stuffing。
Cookie Stuffing,亦叫 Cookie Dropping,係一種流量騎劫,亦係其中一種常見嘅網頁及瀏覽器欺詐手段。Cookie Stuffing 主要係於未經用戶同意嘅情況下,將加入參數嘅 cookie 植入用戶瀏覽器,呢啲有料 cookie 會追蹤用戶嘅瀏覽活動,假如用戶有任何網上消費活動,黑客就會向商戶索取/截取他人佣金。
單係呢兩個喬裝外掛,已經令超過 160 萬個用戶中招,而受害嘅網站亦為數不小,Alexa Top 10000 中就有超過 300 個合法網站遭殃,當中包括 Microsoft、LinkedIn、booking.com、teamviewer、aliexpress 等。Google 方面已經於上周四將兩個喬裝外掛從 Chrome Web Store 移除,已下載到用戶瀏覽器上嘅外掛亦已經停用。
資料來源:https://bit.ly/2kWuOpN、https://bit.ly/2kt4K5F