據ZDNet報道,因私自收集用戶數據,谷歌從官方Chrome應用商店移除了兩款ad blocker插件,它們包含惡意代碼。
據悉,這兩款插件分別名爲Nano Adblocker和Nano Defender(它們常常被用戶一起安裝),由Hugo Xu開發。在過去一年多的時間,這兩款插件總共有300000次的下載安裝,其中,Nano Adblocker有超過50000次的下載安裝,而Nano Defender則有超過200000次的安裝。
值得注意的是,這兩款插件最初的版本並不包含惡意代碼。
10月3日,Nano Adblocker和Nano Defender插件的開發者Hugo Xu表示,因缺乏足夠的時間維護插件,他決定將插件的Chrome應用商店所有權進行出售。
他在GitHub上發佈了一則重要更新和免責聲明:
位於谷歌Chrome應用商店的插件不再歸我控制,我也不再對新開發者的行動負責。如果您對最近的變更感到擔憂,請記住,您可以隨時卸載此插件或尋找替代選項。
您可能注意到了,Nano Adblocker有數月時間未進行更新。很明顯,我缺乏足夠時間來進行維護。最初,這個項目沒有任何積壓的事情。隨着該項目的發展,我添加了一個待辦事項系統來更好的管理未解決的問題。不過,積壓的事情後來變得越來越多,超出了我的承受能力。
因此,Hugo Xu將這兩款插件賣給“一個土耳其的開發者團隊”,但並未進一步透露交易的相關信息。此後,新的開發者在插件更新中加入了收集數據的代碼。
在交易完成後,插件的用戶之一Raymond Hill(uBlock Origin插件的作者)發現,這兩款插件被修改了,裏面包含惡意代碼。
插件會把用戶數據發送到未知名的服務器,這顯然爲用戶帶來了巨大的安全和隱私風險。
Hill說:“這兩款插件如今被設計用來從你的outgoing 網絡請求中查找特定信息,它使用一種可配置的探測手段,並且把獲取到的信息發送到https://def.devnano.com。“
根據進一步的分析,這段惡意代碼可以暴露收集的用戶信息,例如:
- 用戶IP地址
- 國家/地區
- 操作系統詳情
- 網站URLs
- web請求的時間戳
- HTTP方法(POST、GET、HEAD等等)
- HTTP響應的大小
- HTTP狀態碼
- 每個web頁面上的時間消耗
- 單個web頁面上的其他URLs點擊
此外,交易完成後,這個“土耳其的開發者團隊”並未修改插件的作者字段,依然保留了原始作者的名字。這種行爲似乎是有意隱藏他們的真實意圖。
對用戶來說,受惡意插件感染的瀏覽器會自動對大量的Instagram帖子進行點贊,而無需用戶輸入。加州大學聖地亞哥分校的人工智能和機器學習研究員Cyril Gorlla稱,他的瀏覽器對來自一個Instagram賬戶上超過200張圖片進行點贊,但是這個賬戶卻無人關注。
據悉,並非只有Nano Adblocker和Nano Defender插件會篡改Instagram賬戶。User Agent Switcher,這款擁有超100000活躍用戶的插件在被谷歌移除前也幹了相同的事。
許多用戶報告,受感染的瀏覽器還打開了未在瀏覽器中打開的賬戶。這讓人們猜測,更新後的插件正訪問身份驗證cookies,並利用它們來訪問用戶賬戶。
Hill表示,“添加的代碼能夠實時收集請求頭(我猜是通過websocket連接),這意味着敏感信息可能被泄露,比如session cookies。”
電子前哨基金會(EEE)一名資深技術人員Alexei稱,關鍵是Nano插件以一種遠程可配置的方式暗中上傳你的瀏覽器數據。遠程可配置方式意味着無需更新插件,即可修改數據被竊取的網站列表。實際上,由於遠程配置的網站列表目前尚不明確。然而,有許多報道稱用戶的Instagram帳戶受到影響。
在GitHub上被大量用戶“聲討”後,這個土耳其的開發者團隊創建了一個隱私政策頁面。不過,在這個頁面上,他們披露了數據收集行爲,但試圖以一種誤導方式來合法化這段惡意代碼。
然而,對谷歌員工來說,事情變得更容易,因爲谷歌Chrome應用商店規定,任何類型的大量數據收集行爲都被禁止。
目前,這兩個插件已被被谷歌下線,並且在用戶的Chrome瀏覽器中不可用。截至撰寫本文時,筆者在Chrome應用商店已經無法搜到Nano Adblocker和Nano Defender這兩個插件。
而Firefox版本的Nano Adblocker和Nano Defender插件不包含惡意代碼,因爲它們不屬於本次交易的一部分,並且由不同的開發者進行管理。