近日，加密社群用户因下载恶意 Chrome 扩充 Aggr 遭受重大财产损失，引发了广泛关注。为了帮助用户更好地了解浏览器扩充的风险并提高自身安全防护能力，慢雾安全团队 23pds 详细解析了这一恶意扩充的作恶方式，并提供了实用的安全建议。

(详细原文请见：慢雾：Chrome 恶意扩充盗取百万美金解惑)

内容目录

社群警告引发关注

2024 年 6 月 3 日，推特用户 @CryptoNakamao 发文，讲述其因下载恶意 Chrome 扩充 Aggr 导致 100 万美金被盗的经历。这一事件迅速在加密社群引发广泛讨论，用户纷纷表达对扩充风险和自己加密资产安全的担忧。

广告 - 内文未完请往下卷动

(Google 扩充软件惹祸！币安帐户消失的一百万美元，何一坐镇也难追回)

慢雾安全团队的分析

早在 5 月 31 日，慢雾安全团队便发布了关于 Aggr 扩充的详细分析报告，揭示了其作恶方式。本文通过六问六答，帮助用户了解 Chrome 扩充的基础知识和潜在风险，并提供应对建议。

1. 什么是 Chrome 扩充功能？

Chrome 扩充功能是为 Google 浏览器设计的插件，能够扩充浏览器的功能和行为。它们通常由 HTML、CSS、JavaScript 等网页技术构建，主要部分包括：

– manifest.json：扩充的配置文档，定义基本信息。

– 背景脚本：处理后台任务。

– 内容脚本：与网页交互。

– 用户界面：如工具栏按钮、弹出窗口等。

 2. Chrome 扩充功能有什么作用？

Chrome 扩充功能具有多种用途，包括：

– 广告拦截：提高网页加载速度和用户体验，如 AdBlock。

– 隐私和安全：增强用户隐私和安全性，如 Privacy Badger。

– 生产力工具：提高工作效率，如 Todoist。

– 开发者工具：提供调试和开发工具，如 React Developer Tools。

– 社交媒体和通信：方便处理社交媒体通知，如 Grammarly。

– 网页定制：自定义网页外观和行为，如 Stylish。

– 自动化任务：帮助自动化重复性任务，如 iMacros。

– 语言翻译：实时翻译网页内容，如 Google 翻译。

– 加密货币辅助：方便加密货币交易，如 MetaMask。

3. Chrome 扩充功能安装后有哪些权限？

Chrome 扩充可能请求以下权限：

– <all_urls>：访问所有网站内容。

– tabs：访问浏览器标签信息。

– activeTab：暂时访问当前激活的标签。

– storage：使用 Chrome 的存储 API。

– cookies：访问和修改浏览器中的 cookies。

– webRequest：拦截和修改网络请求。

– bookmarks：访问和修改浏览器书签。

– history：访问和修改浏览器历史记录。

– notifications：显示桌面通知。

– contextMenus：添加自定义菜单项。

– geolocation：访问用户地理位置信息。

– clipboardRead 和 clipboardWrite：读取和写入剪贴板内容。

– downloads：管理下载。

– management：管理其他扩充和应用进程。

– background：后台运行任务。

– webNavigation：监控和修改浏览器导航行为。

这些权限虽然能提供强大功能，但也可能访问用户的敏感数据。

4. 为什么恶意的 Chrome 扩充可以盗取用户权限？

恶意扩充利用所请求的权限盗取用户信息和认证数据，其具体方式包括：

– 请求广泛权限：如访问所有网站、读取和修改标签、访问存储等。

– 操作网络请求：拦截和修改网络请求，窃取认证信息。

– 读取和写入页面内容：通过嵌入代码读取和修改页面数据。

– 访问浏览器存储：存取包含敏感信息的本地数据。

– 操作剪贴板：读取和篡改用户拷贝粘贴的信息。

– 伪装合法网站：诱导用户输入敏感信息。

– 长期后台运行：持续监控用户活动，收集数据。

– 操作下载：下载和运行恶意文档，威胁系统安全。

5. 恶意扩充如何盗取用户权限和资金？

恶意扩充 Aggr 利用了广泛的权限（如 cookies、tabs、<all_urls>、storage），通过以下方式盗取用户权限和资金：

– 模拟用户登录交易平台帐户。

– 未经同意进行交易和资金转移。

– 访问和收集敏感信息。

– 更改帐户设置，控制用户帐户。

– 进行社会工程攻击，进一步获取敏感信息。

6. 恶意扩充盗取 cookies 后能做什么？

恶意扩充可以利用盗取的 cookies 运行以下操作：

– 访问帐户信息。

– 进行未经授权的交易。

– 绕过二次验证，提取资金。

– 访问和收集敏感信息。

– 修改帐户设置。

– 冒充用户进行社会工程攻击。

应对措施

个人用户的应对措施

– 增强个人安全意识：保持怀疑态度。

– 仅安装可信来源的扩充：阅读用户评价和权限请求。

– 使用安全的浏览器环境：避免安装不明来源的扩充。

– 定期检查帐户活动：发现可疑行为立即采取措施。

– 使用硬件钱包：存储大额资产。

– 浏览器设置和安全工具：减少恶意扩充风险。

– 使用安全软件：检测和防止恶意软件。

平台的风控建议

– 强制使用二次验证(2FA)：确保用户帐户安全。

– 会话管理和安全：管理已登录设备，实施会话超时策略。

– 强化帐户安全设置：发送安全通知，提供帐户冻结功能。

– 加强监控和风控系统：监控用户行为，识别异常交易。

– 为用户提供安全教育和工具：普及安全知识，提供官方安全工具。

安全与业务需要平衡，平台在保护用户帐户和资产安全的同时，也要考虑用户体验。慢雾安全团队建议用户在安装软件、插件前，先问自己是否安全，避免故事变成事故。更多安全知识请阅读慢雾出品的《区块链黑暗森林自救手册》。