近日,據(jù)路透社報道,安全公司Awake Security的研究人員新發(fā)現(xiàn),瀏覽器市場的老大Chrome成了間諜軟件的“批發(fā)市場”,大量包含間諜軟件的Chrome擴(kuò)展插件已經(jīng)被下載了超過3200萬次。
該事件暴露了科技行業(yè)最重要的產(chǎn)品之一——Chrome瀏覽器存在嚴(yán)重安全問題,直接威脅到全球互聯(lián)網(wǎng)用戶的隱私和信息安全,因為瀏覽器更多地被用于處理電子郵件、財務(wù)等敏感信息。
Alphabet公司旗下的Google表示,在上個月受到研究人員的警告后,已從其官方的Chrome網(wǎng)上應(yīng)用店中刪除了70多個惡意加載項。
Google發(fā)言人Scott Westover告訴路透社:
當(dāng)我們收到Chrome應(yīng)用商店中違反安全政策的擴(kuò)展程序的警報時,我們立刻采取行動并將這些事件當(dāng)作反面教材,以改進(jìn)我們的自動化和手動分析工作。
根據(jù)下載量,Awake聯(lián)合創(chuàng)始人兼首席科學(xué)家Gary Golomb表示,這是迄今為止影響最廣的Chrome應(yīng)用商店惡意軟件活動。
對于擁有強大安全團(tuán)隊和安全流程的Google公司來說,大規(guī)模的Chrome惡意插件為整個科技行業(yè)都敲響了警鐘——傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)和流程存在短板和盲區(qū),同時該事件也可看作是人工智能安全技術(shù)的一次里程碑式的突破。
目前,Google拒絕討論此次大規(guī)模間諜軟件傳播事件導(dǎo)致的破壞性后果和廣度,也沒有解釋為何過去幾年承諾會更緊密地監(jiān)督產(chǎn)品安全問題,但這次卻沒有檢測并刪除官方應(yīng)用商店中如此之多的惡意插件。
盡管惡意瀏覽器擴(kuò)展問題已經(jīng)存在多年,但情況正變得越來越糟,這些插件最初只是彈出一些流氓廣告,但現(xiàn)在將興趣轉(zhuǎn)向了安裝其他惡意程序或跟蹤用戶,從事著政府或商業(yè)間諜所做的工作。
據(jù)Awake方面的消息,目前尚不清楚這些惡意軟件背后的操縱者,惡意插件的開發(fā)人員在向Google提交擴(kuò)展程序時提供了虛假的聯(lián)系信息。
創(chuàng)建國家安全公司Carbon Black and Obsidian Security的前美國國家安全局工程師Ben Johnson說:“任何能夠滲透某人瀏覽器或電子郵件等敏感區(qū)域的技術(shù)/活動,都會成為國家間諜活動和有組織犯罪的重大目標(biāo)。”
Awake首席科學(xué)家Golomb說:
這些擴(kuò)展經(jīng)過精心設(shè)計,能夠繞過防病毒公司或Web安全軟件的檢測。
研究人員發(fā)現(xiàn),如果有人使用家用計算機瀏覽器上網(wǎng),惡意軟件將悄悄連接到一系列網(wǎng)站并傳輸信息。而如果用戶使用公司網(wǎng)絡(luò)(包括安全服務(wù))則瀏覽器惡意軟件將保持靜默不會傳輸敏感信息,甚至不會訪問這些惡意網(wǎng)站。
Golomb說:“這表明攻擊者可以使用極其簡單的方法來隱藏數(shù)千個惡意網(wǎng)站。”
在通報該事件后,Awake還發(fā)布了相關(guān)研究報告,包括惡意域名和Chrome擴(kuò)展插件列表(https://awakesecurity.com/blog/the-internets-new-arms-dealers-malicious-domain-registrars)。
報告指出,所有惡意域名(超過15,000個互聯(lián)鏈接)都是從以色列的一個小型域名注冊商Galcomm那里購買的,該公司正式注冊名稱為CommuniGal CommunicationLtd。
負(fù)責(zé)注冊服務(wù)商的互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)(Internet Corp for Assigned Names and Numbers)表示,多年來,該公司幾乎沒有收到關(guān)于Galcomm的投訴,也沒有收到有關(guān)惡意軟件的投訴。
惡意軟件開發(fā)人員長期以來一直使用Google的Chrome商店作為重要渠道。2018年,面對高達(dá)10%的插件都是惡意插件的事實,Google曾表示將通過增加人工審核進(jìn)一步提高安全性。
但暴露此次Chrome大規(guī)模間諜軟件插件問題的,卻是Awake的人工智能安全技術(shù)。這對于人工智能的領(lǐng)導(dǎo)者Google來說,多少有些讓人感到尷尬。
其實早在今年二月份,Chrome就曾曝出過類似的Chrome安全問題。獨立研究員賈米拉·卡亞(Jamila Kaya)和思科系統(tǒng)公司的Duo Security 也曾發(fā)現(xiàn)Chrome瀏覽器惡意軟件活動,竊取了大約170萬Chrome用戶的數(shù)據(jù)。Google當(dāng)時參加了調(diào)查,結(jié)果發(fā)現(xiàn)了500個欺詐性擴(kuò)展。