Google 於 7 月 29 日對其 2 億 Chrome 用戶發出緊急警告,指出一項高嚴重性的記憶體漏洞(CVE-2025-8292)可能使攻擊者能夠透過用戶訪問的網站進行攻擊。這一漏洞已被修復,所有用戶應立即更新並重啟瀏覽器。雖然這是一個關鍵的修復,但對 Chrome 用戶來說,隱藏的更大威脅來自於那些看似官方驗證的擴充功能程式,這些程式可能被設計或劫持來攻擊用戶的設備。
SquareX的資安專家Vivek Ramachandran表示,「數百萬用戶的數據可能已被盜取」。他指出,資安工具對擴充功能程式在運行時的動態行為缺乏可見性,無法有效保護用戶免受不斷上升的威脅。近幾年來,SquareX報告顯示,惡意瀏覽器擴充的數量激增,包括Geco Colorpick、Cyberhaven和Great Suspender等,這些擴充功能程式不僅竊取數據,還會盜取會話Cookie,散播間諜軟體,甚至劫持受害者的瀏覽器會話。
這些擴充功能程式有些從一開始就存在危險,另一些則因為被攻擊或所有權變更而變得惡意,利用了已經擁有廣泛安裝基礎的受信任擴充功能。Ramachandran強調,「大多數企業仍依賴擴充功能商店的標籤,如『已驗證』和『Chrome推薦』,來判斷其安全性,但這種方法有缺陷,因為瀏覽器供應商和企業並沒有足夠的工具來進行擴充功能分析。」
SquareX的最新報告再次強調了擴充功能程式的隱藏威脅,這些擴充功能程式通常在用戶不經檢查的情況下安裝。隨著AI威脅的增加,包括流竄的瀏覽器AI代理,這成為一個巨大的風險。SquareX指出,「當前大多數擴充功能程式都是從官方商店如Chrome商店下載和安裝的,但商店徽章可以被攻擊者輕易操控,透過虛假評論和大量下載來偽裝。因此,許多已驗證和Chrome推薦的擴充功能程式被發現是惡意的。」
擴充功能程式通常在設備上擁有自由的操作權限,並可以使用用戶的憑證,這對攻擊者來說是一個巨大的好處。SquareX警告用戶要了解擴充功能程式的「超能力」,以便更好地保護自己的數據。雖然更新和重啟Chrome至關重要,但真正的威脅可能隱藏在視線之外,持續對用戶的數據構成威脅,因此用戶在安裝擴充功能程式時必須格外小心。
(首圖來源:Flickr/Yuri Samoilov CC BY 2.0)
科技新報粉絲團
加入好友
訂閱免費電子報
