«
»

廣告供應商收購且濫用Chrome擴充套件-2014-1-15

Chrome為確保用戶版本維持最新狀態,他們利用Google的靜態方式進行自動更新,其中Chrome套件被包含在自動更新程序之中,而套件的擁有者具更新資料權限。此意味著,使用者在決定信任套件後,就將更新權限賦予套件擁有者並增添額外程式至瀏覽器中。

但問題是,倘若Chrome將擴充套件的授權轉移時,使用者無法得知授權被移轉該一事實。因此惡意軟體或廣告軟體的供應商發現此事後,便可向擴充套件的開發者購買所有權,一旦完成交易授權轉移後,那些供應商便可直接經由Chrome的更新系統,將廣告或惡意軟體發送至用戶套件中。

我們再此澄清,雖然這些廠商利用了Google的擴充套件系統迫使瀏覽器處於一個低標準且危險狀態,但事實上Google並不需要對這些軟件負責。

首發事件 為OMGChrome ,發生在Amit Agarwal開發的『Add to Feedly』擴充套件中。某日清晨,Agarwal收到一封電子郵件,內容提到要用4位數的價錢購買他開發擴充套件的所有權。其實這套件只花Agarwal一個小時就完成了,因此Agarwal沒有多慮的就同意這場交易。利用PayPal進行付款後便將所有權轉移給對方。一個月後,該套件發佈第一版本的更新(迄今只有一個),這個更新使所有網頁被加入廣告,並且將連結導向其他網頁。Chrome擴充套件的自動更新機制導致『Add to Feedly』的所有用戶默默執行更新,因此新的擁有者便能透過此方式以賺取廣告收入。當時,Agarwal並不曉得購買者的意圖,而他也是事後才知道原來他將使用該套件的用戶賣給了惡意供應商。在此事件中,惡意供應商並非直接攻擊Chrome的擴充套件,而利用了簡單的方式來攻擊擴充套件的用戶。

這事件不僅發生一次。我擁有一套簡便的擴充套件『Tweet This Page』,大約一個月前突然演變成置入性廣告的套件並開始綁架Google搜尋引擎。在Chrome Web Store裡快速搜尋後,發現有許多類似套件,這些套件的評論都提及該套件突然地從有用套件轉變成置入性廣告的套件。甚至有些套件還表明將停止其他套件的執行 。儘管如此,Chrome extensions仍繼續允許 這些置入性廣告套件的存在,但Google政策上有規定APP的廣告來源必須明顯公布予使用者明瞭,並且不可在任何網站上添入廣告。

如何判斷套件是否遵守Google公布的政策相當困難,當Tweet This Page開始大量發放廣告和惡意套件到我的瀏覽器時,最先開始的跡象就是,網路上的廣告變得更有侵略性還會自動撥放許多的汽車聲音。這些廣告會在更新後幾天才開始執行,並且難以察覺廣告是否安裝。一段時間後Google搜尋引擎開始變得沒有用,無論搜尋什麼都只會連結到相同網頁。因此最初認為是近期安裝的程式可能攜帶惡意軟件而從未懷疑過更新會帶來惡意軟件,因此執行了許多種的防毒軟體也都沒有發現可疑的程式。接著Chromebook也開始出現這些惡意軟件,因此認為整件事情的罪魁禍首就是Chrome瀏覽器。倘若後續我沒有意識到這件事的話,我可能只會把電腦重灌而已。

對用戶來說這是很難移除的,掃毒軟體也無法找出嵌入在JavaScript的惡意廣告。倘若惡意套件已同步到Google帳號並尚未刪除,表示重灌一台電腦後,只要重新安裝Chrome,它仍會再下載一次惡意套件。唯一能完整移除的辦法就是移除套件後,檢查帳號和其他設備裡是否仍有此套件的存在。若當檢查惡意軟體的範圍縮小至Chrome時,又未檢測出異常時,最好找尋每個套件最後版本的評論,希望能有人已找到廣告來源。

而使用者有哪些防護措施呢?事實上,在Chrome自動更新的循環檢查機制中,想要不被更新是一件很困難的事,因為目前尚未有任何方法可以關閉自動更新功能,另外,這些更新並不會留下任何紀錄。想要解決這樣的困擾就必須額外安裝另一套件 來開啟更新告知。不然就得停止所有套件的使用,但這是一個很消極的手段。順帶一提,使用者必須持續留意那些小公司所研發的套件,因為那些套件被惡意公司併吞的風險最大。在Chrome中套件可以在安裝過程中向使用者提出權限 請求,其中又有一種請求是允許網頁被加入廣告,被稱為"access your data on all web pages"。目前有許多合法套件都已擁有此權限,惡意套件的製造商可以針對該類型套件進行購買,以降低被懷疑成為惡意套件的可能性。

這樣環境下,初學者要安裝套件是一件非常容易的事,但他們幾乎不會去診斷或移除那些已惡化的套件,而且很可能因為Chrome的同步功能讓這些套件在他們所有使用的設備上生存一段很長的時間。『Add to Feedly』的作者賣掉套件的同時也賣掉了該套件的三萬多位用戶,並且會安裝一堆廣告。儘管今天儘管有一堆不高興的評論,但是Chrome Web Store顯示還是有31,548的使用者正在使用這套件。但是我們應該要處理的問題是,雖然自動更新是來自於可信的Chrome,但使用者對套件的信任卻可以任意被買賣以及所有權在未告知使用者的狀況下竟然可以被轉讓,這才是真正重要的。

本文為【網路管理實驗室】協助翻譯
原文網址:https://www.schneier.com/blog/archives/2014/01/adware_vendors.html

This entry was posted by islab on 2014 年 06 月 06 日 at 10:13:37 under Selected Article. You can leave a response, or trackback from your own site. Follow any responses to this entry through the RSS 2.0 feed.

Leave a Reply