研究人员发现针对Chrome扩展程序的大型恶意软件操作

于 2020-02-18 13:33:58 发布
阅读量386 收藏
点赞数
分类专栏: 安全资讯 文章标签: Chrome扩展程序 Chrome浏览器
原文链接:https://www.wosign.com/FAQ/faq_2020021701.htm
版权

安全研究人员 Jamila Kaya 每天都会检查一些与线上数字威胁有关的内容,结果偶然发现了针对 Google Chrome 浏览器扩展程序的大型恶意软件操作。此事引发了为期两个月的调查,并导致谷歌清理了网上应用店的 500 多款扩展程序。遗憾的是,已经有超过 170 万名 Chrome 用户安装了她发现的首批问题扩展。

在新发布的报告中,其揭示了幕后是一场持续至少两年、且相当活跃的大规模恶意软件行为。

Jamila Kaya 在第一时间向思科 Duo 安全团队取得了联系,询问了与 Chrome 扩展程序相关的诸多问题。

结果发现这些扩展感染了浏览器,涉及某些较大型活动的部分数据泄露。

报告指出,这些扩展通常以‘广告即服务’的形式呈现。Jamila 发现它们是山寨插件网络的一部分,且其拥有几乎相同的功能。

通过合作,安全人员借助 CRXcavator.io 对几十款扩展进行了研究,最终在 170 万用户中识别出了 70 个与之匹配的模式,然后向谷歌汇报了相关问题。

Duo 团队补充道:“别有居心者越来越多地披上了合法的外衣,以掩盖其在互联网上的恶意行为”。

被滥用最多的,就是广告 Cookie 的使用和其中的重定向。作为一种‘恶意广告’技术,其很难被外界所发现。

恶意广告经常在其它程序中出现,且形式相当多样,包括广告欺诈、数据泄露、网络钓鱼、以及监视和利用。

在涉及广告手机和欺诈的大多数恶意活动中,也经常能够见到它的身影。

据悉,这些恶意扩展中的代码,有时会将用户重定向到百思买或梅西百货等网站的返利链接、或者可能托管了恶意软件的站点。

在将问题上报后,谷歌方面也给出了回应。该公司发言人称,谷歌会在发现违反政策的问题时发出警告并采取行动。

此外,该公司还会定期执行发起扫描,以检查扩展程序中是否包含类似的技术和代码滥用。

文章来源:cnbeta.com

沃通WoTrus
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
HTTPS证书价格差异体现在哪?
07-25 246
作为保障网站安全的重要工具,其类型、功能和费用差异成为用户选择时的关键考量因素。本文将深入探讨HTTPS证书的不同类型、功能以及费用差异,以帮助用户做出更合适的选择。
博客
DigiCert OV SSL证书多少钱一年?
07-25 203
DigiCert OV SSL证书,即组织验证SSL证书,是一种比基础的DV(域名验证)证书提供更高安全级别的证书。它不仅验证域名所有权,还对申请组织的合法性进行验证,确保网站的真实性和可靠性。这种证书适用于大型企业网站、电商平台以及其他对安全要求较高的网站。
博客
Sectigo DV SSL证书为何经济实惠?
07-24 541
Sectigo DV SSL证书是一种基于域名验证(Domain Validation,简称DV)的证书,其主要通过验证域名所有权来确认网站的身份。这种类型的证书适用于个人网站、小型企业网站,以及那些需要快速且经济有效的安全措施的网站。
博客
购买HTTPS证书需要哪些步骤?
07-19 228
无论你运营的是哪种类型的网站,购买和安装HTTPS证书都是必不可少的一步。通过选择沃通CA这样的信誉良好的证书颁发机构,生成并提交CSR文件,进行验证,下载并安装证书,最后配置服务器启用HTTPS服务,网站所有者可以确保其网站的数据安全。沃通CA是市场上知名的CA之一,提供多种类型的证书,满足不同网站的需求。SSL证书的有效期通常为1年,过期后网站数据传输将不再受到保护,因此需要在SSL证书过期之前的1个月提前申请续费。通过以上步骤,网站所有者可以确保其网站的数据传输安全,提升网站的可信度和用户的信任度。
博客
国密SSL证书申请途径?
07-19 329
特别是在中国,随着国密算法的普及,越来越多的网站和应用程序开始使用国密SSL证书来加密传输数据,以提高数据安全性。总之,选择沃通CA作为国密SSL证书的服务商,不仅可以获得专业的技术支持和服务,还可以享受到全方位的安全保障。用户可以通过沃通CA的官方网站了解更多关于国密SSL证书的信息,选择适合自己的证书类型。沃通CA会提供详细的配置指南和技术支持,帮助用户在服务器上完成SSL证书的安装和配置。沃通CA作为国内领先的数字证书服务提供商,提供了专业的国密SSL证书申请和安装服务,为用户提供全方位的安全保障。
博客
我应该选择哪家CA机构的代码签名证书?
07-18 853
数字化时代,软件安全已成为企业和个人开发者不可忽视的重要议题。代码签名证书作为一种关键的数字安全工具,它通过验证软件开发者的身份并确保软件在传输过程中的完整性,为软件提供了必要的安全保障。本文将探讨如何选择一个可靠的代码签名证书提供商,并介绍购买流程和注意事项。
博客
通配符SSL证书vs多域名SSL证书,哪一种更经济高效?
07-18 501
互联网时代,SSL证书扮演着至关重要的角色,确保网站和用户数据的安全。SSL证书的两种主要类型——通配符证书和多域名证书,各有其特点和适用场景。本文将对这两种证书进行深入比较,以帮助用户根据自身需求做出明智的选择。
博客
什么是标准代码签名证书?
07-12 748
数字化时代,软件安全已成为用户和开发者共同关注的焦点。为了确保用户能够安全下载和使用软件,同时保护开发者的软件免受篡改和恶意植入,代码签名技术应运而生。在众多代码签名证书类型中,有一种被称为,它实际上是OV(Organization Validation)代码签名证书的一种,为软件提供标准的、基础的保护,在保障软件安全和信任方面发挥着重要作用。
博客
微软代码签名证书的申请流程包含哪几个关键步骤?
07-10 559
在软件开发环境中,确保软件的安全性和可信度至关重要。沃通CA提供的代码签名证书作为一种重要的安全措施,可以帮助开发者验证其软件的来源和完整性,有效地避免用户因安全顾虑而避免安装或使用软件。本文将详细介绍如何申请。
博客
企业申请代码签名证书的费用是多少?
07-10 397
在软件开发领域,代码签名证书是确保软件安全性和可信度的重要工具。沃通CA提供的代码签名证书能够为软件发布提供安全保障,增强用户对软件的信任。本文将详细介绍沃通CA代码签名证书的价格,帮助您了解并规划预算。首先,了解代码签名证书的基本概念及其作用。是一种数字证书,用于验证软件开发者的身份,并确保软件在传输过程中不被篡改。通过使用公钥和私钥对软件代码进行签名,代码签名证书能够证明软件的真实性和完整性,从而提高软件的可信度。
博客
申请EV代码签名证书费用是多少?
07-08 672
代码签名证书是确保软件安全性和可信度的关键工具,在软件开发领域扮演着至关重要的角色。EV代码签名证书,即扩展验证代码签名证书,以其最高级别的安全性和信任度,成为大型企业或对安全性要求较高的软件的首选。本文旨在深入探讨EV代码签名证书的价格及其性价比,并提供购买时需考虑的其他重要因素。
博客
哪家提供商的OV泛域名SSL证书性价比最高?
07-05 266
OV泛域名证书通过严格的组织验证过程,验证网站所有者的身份和资质。这种证书不仅能够确保数据在传输过程中不被篡改,还能向用户展示网站所有者的真实身份,提高网站的可信度。对于中小型企业用户来说,这种证书是保护网站数据安全的有效手段。
博客
什么是有效的电子签名?PDF电子签名怎样具备法律效力?
06-27 879
根据《电子签名法》规定,电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。有效的电子签名必须满足特定的条件,以确保其法律效力。1. 专有性电子签名制作数据在用于电子签名时,必须属于电子签名人专有。这意味着签名数据应与签名人的身份紧密关联,确保签名的唯一性和不可抵赖性。2. 控制性在签署过程中,电子签名制作数据必须仅由电子签名人控制。这保证了签名行为的真实性和自愿性,防止未经授权的签名。3. 篡改可检测签署后,对电子签名的任何改动都应能够被发现。
博客
Sectigo或RapidSSL DV通配符SSL证书哪个性价比更高?
06-25 1027
在当前的网络安全领域,选择一款合适的SSL证书对于保护网站和用户数据至关重要。Sectigo和RapidSSL作为市场上知名的SSL证书提供商,以其高性价比和快速的服务响应而受到市场的青睐。本文将对Sectigo和RapidSSL DV通配符证书进行深入对比,帮助用户做出更明智的选择。
博客
Sectigo OV通配符SSL证书购买流程是怎样的?
06-25 447
随着网络攻击的日益频繁和复杂化,确保用户数据安全已成为网站运营的首要任务。SSL证书作为加密通讯协议的关键工具,对于保护网站和用户数据安全至关重要。特别是对于那些使用通配符证书的网站,选择正确的证书品牌和类型尤为关键。Sectigo,作为全球领先的SSL证书提供商之一,其提供的SSL证书质量和服务水平得到了业界的广泛认可。Sectigo的OV通配符证书能够为企业用户提供方便、快捷的保护方案,确保其网站的多个子域名都能得到安全保护。
博客
代码签名证书有什么作用?有哪些申请步骤?
06-21 582
代码签名证书是提供给软件开发者对其开发的软件代码进行数字签名,用于验证开发者身份真实性、保护代码的完整性。用户下载软件时, 能通过数字签名验证软件来源可信,确认软件没有被非法篡改或植入病毒木马,保护用户不会被病毒、恶意代码和间谍软件所侵害,也保护了软件开发者的利益,让软件能在互联网上快速安全地发布。
博客
SSL证书购买申请需要哪些步骤?
06-19 810
SSL(Secure Sockets Layer)证书,也称作HTTPS证书或服务器证书,是一种服务器数字证书,用于在网络通信中提供安全和数据完整性。随着互联网的快速发展,SSL证书已成为网络安全与信任的基石。它通过建立加密通道来确保数据传输的安全性,并为服务器身份提供权威验证。现代SSL证书实际上是基于TLS(传输层安全)协议的,支持ECC、RSA或SM2等多种公钥加密体系。SSL证书的基本作用包括数据加密传输、身份验证、防止中间人攻击、增强用户信任、提升搜索引擎排名以及满足法律和合规要求。
博客
Sectigo OV通配符SSL证书多少钱?
06-18 512
在选择和购买Sectigo OV通配符证书时,需要考虑多个方面的因素,包括价格、证书提供商的信誉度、技术支持等。通过充分了解证书的特点和优势,以及对不同证书提供商的比较,可以帮助您做出更加明智的决定,选择最适合您网站需求和预算的Sectigo OV通配符证书。沃通wotrus作为Sectigo OV通配符证书的提供商之一,以其专业的服务和合理的价格在市场上赢得了良好的口碑。通过选择沃通wotrus作为您的证书提供商,您将能够享受到专业的服务和合理的价格,确保您的网站在网络安全方面得到最佳保护。
博客
如何选择可靠的代码签名证书签发机构?
06-14 697
软件和应用程序已成为我们日常生活和工作中不可或缺的一部分。它们不仅处理着大量的敏感数据,还执行着许多关键任务。因此,确保这些软件的安全性和完整性变得极为重要。代码签名证书作为一种关键工具,其作用在于验证软件的来源,确保其在传输过程中未被篡改,从而保障软件的安全性和可靠性。面对市场上众多的代码签名证书品牌,选择一个合适的证书提供商可能会让开发者感到困惑。本文旨在介绍三家领先的代码签名证书提供商:Globalsign、Comodo和DigiCert,以帮助开发者做出明智的选择。
博客
最经济实惠的通配符SSL证书是哪款?
06-14 487
网络安全已成为企业和个人网站运营者关注的焦点。SSL证书作为确保数据传输安全的关键工具,其重要性不言而喻。特别是通配符SSL证书,因其能够为一个主域名及其所有子域名提供统一的安全保护,而受到广泛欢迎。但面对市场上众多的SSL证书品牌和价格,选择一个既经济又可靠的通配符证书成为了一项挑战。本文将探讨如何选择最适合自己的通配符SSL证书,并推荐一些价格合理的选项。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值