网路安全公司 SquareX 近期揭露了一种名为「多型攻击」(Polymorphic Attack)的新型网路威胁,该攻击手法利用伪装成密码管理器、加密货币钱包和银行应用程式的恶意浏览器扩充功能,来窃取使用者的机敏资讯。SquareX 警告,包括最新版本的 Google Chrome 在内的多款浏览器都可能受到此类攻击的影响,这也让长期以来被视为方便工具的浏览器扩充功能,再度成为网路安全的一大隐忧。
「多型攻击」:伪装与欺骗的完美结合
SquareX 在其官方实验室影片详细说明了「多型攻击」的运作原理,并发布了一段示範影片,展示了攻击的实际过程。影片中,一个看似无害的 AI 行销工具扩充功能被安装到 Chrome 浏览器中,该扩充功能拥有「读取浏览器历史记录」和「管理应用程式、扩充功能和主题」等权限。
当使用者浏览需要登入的网站时,恶意扩充功能会伪装成 1Password 等密码管理器,弹出假的登入视窗,诱骗使用者输入帐号密码。一旦使用者输入资讯,这些资料就会被窃取,而使用者可能浑然不觉,因为工具列上的图示和弹出视窗看起来与真正的密码管理器并无二致。更甚者,恶意扩充功能甚至会停用真正的密码管理器,让使用者完全暴露在风险之中。
SquareX 指出,这种攻击之所以被称为「多型」,是因为恶意扩充功能可以伪装成多种不同的扩充功能。它们利用 Chrome 浏览器的「chrome.management API」来管理扩充功能,或使用一种称为「Web 资源点击」(Web Resource Click)的技术,侦测目标扩充功能特有的资源,从而找出要伪装的对象。这种高度的变形能力,使得安全厂商难以追蹤和防御此类攻击。
扩充功能安全漏洞:长期存在的隐忧
事实上,浏览器扩充功能的安全漏洞并非新鲜事。过去就曾发生过恶意扩充功能窃取使用者浏览纪录、植入广告、甚至劫持浏览器等事件。然而,「多型攻击」的出现,无疑将扩充功能的安全风险提升到一个新的层次。过去的攻击多半是直接进行恶意行为,而「多型攻击」则是透过伪装,让使用者在毫无防备的情况下交出自己的机密资讯,其欺骗性更高,危害也更大。
值得注意的是,受影响的浏览器不仅仅是 Chrome,所有基于 Chromium 核心的浏览器,如 Microsoft Edge、Brave 等,都可能受到此类攻击的影响。这意味着有大量的网路使用者面临潜在的风险。由于 Chromium 是目前市佔率最高的浏览器核心,因此「多型攻击」的影响範围可说是相当广泛。
SquareX 已将此攻击告知 Chrome 团队,但他们也坦言,修补此漏洞并不容易。SquareX 认为,只有透过了解每个扩充功能执行时行为的浏览器原生解决方案,才能有效解决此问题。在此之前,使用者应提高警觉,谨慎安装浏览器扩充功能,并仔细检查扩充功能的权限要求。此外,定期检查已安装的扩充功能,移除不必要或可疑的扩充功能,也是保护自身安全的重要措施。对于浏览器厂商而言,则需要加强对扩充功能的审核机制,并提供更完善的安全防护功能,以确保使用者的安全。