此 PDF Chrome 扩展程序可能包含恶意软件

此帖子已更新。它最初于 2023 年 6 月 1 日发布。

一位独立安全研究员发现，目前 Chrome 网上应用店中 18 个 Chrome 扩展程序中存在恶意代码。这些扩展程序总共拥有超过 5700 万活跃用户。这进一步证明，Chrome 扩展程序需要以批判的眼光进行评估。

Chrome 扩展程序是基于 Google Chrome 构建的应用程序，可让您为浏览器添加额外功能。此可自定义功能可以执行的任务范围很广，但一些流行的扩展程序可以自动填写您的密码、屏蔽广告、一键访问您的待办事项列表或更改社交媒体网站的外观。不幸的是，由于 Chrome 扩展程序功能强大，可以对您的浏览体验进行大量控制，因此它们成为黑客和其他不良行为者的热门目标。

本月初，独立安全研究员 Wladimir Palant 在一款名为 PDF Toolbox 的浏览器扩展程序中发现了一些代码，该代码允许它将恶意 JavaScript 代码注入您访问的任何网站。该扩展程序声称是一个基本的 PDF 处理器，可以执行诸如将其他文档转换为 PDF、将两个 PDF 合并为一个以及从打开的选项卡下载 PDF 等操作。

最后一个功能让 PDF Toolbox 可以被恶意利用。Google 要求扩展开发人员仅使用必要的最低权限。为了从当前未激活的选项卡下载 PDF，PDF Toolbox 必须能够访问您当前打开的每个网页。如果没有此功能，它就无法伪合法地访问您的浏览器。

PDF Toolbox 似乎可以完成它声称能够完成的所有 PDF 任务，但它还会从外部网站下载并运行 JavaScript 文件，该文件可能包含执行几乎所有操作的代码，包括捕获您在浏览器中输入的所有内容、将您重定向到虚假网站以及控制您在网络上看到的内容。通过使恶意代码看起来像合法的 API 调用、对其进行混淆以使其难以跟踪，并将恶意调用延迟 24 小时，PDF Toolbox 自 2022 年 1 月上次更新以来一直能够避免被 Google 从 Chrome 网上应用店中删除。（尽管 Palant 提交了一份有关其恶意代码的报告，但在撰写本文时，它仍然在那里可用。）

当 Palant 第一次发现 PDF Toolbox 中的恶意代码时，他无法确认它做了什么。然而，昨天，他披露了另外 17 个使用相同技巧下载和运行 JavaScript 文件的浏览器扩展程序。这些扩展程序包括 Autoskip for Youtube、Crystal Ad block、Brisk VPN、Clipboard Helper、Maxi Refresher、Quick Translation、Easyview Reader view、Zoom Plus、Base Image Downloader、Clickish fun cursors、Maximum Color Changer for Youtube、Readl Reader mode、Image download center、Font Customizer、Easy Undo Closed Tabs、OneCleaner 和 Repeat button，不过很可能还有其他受感染的扩展程序。这些只是 Palant 在约 1,000 个扩展程序样本中发现的。

除了发现更多受影响的扩展程序外，Palant 还能够确认恶意代码正在做什么（或者至少过去做过什么）。这些扩展程序将用户的 Google 搜索重定向到第三方搜索引擎，可能是为了收取少量联盟费用。通过感染数百万用户，开发人员可以获得大量利润。

不幸的是，代码注入就是代码注入。恶意 JavaScript 在过去相当无害地将 Google 搜索重定向到其他搜索引擎，并不意味着它现在也能这样做。Palant 写道：“利用向每个网站注入任意 JavaScript 代码的能力，人们可以做更危险的事情。”

这些都是什么危险的东西？好吧，这些扩展程序可能会收集浏览器数据，在用户访问的每个网页上添加额外的广告，甚至记录网上银行凭证和信用卡号。在 Web 浏览器中未经检查运行的恶意 JavaScript 可能非常强大。

如果您的计算机上安装了受影响的扩展程序之一，则应立即将其删除。快速审核您安装的所有其他扩展程序也是一个好主意，以确保您仍在使用它们，并且它们看起来都是合法的。如果不是，您也应该删除它们。

否则，请将此视为一个提醒，始终警惕潜在的恶意软件。有关如何对抗恶意软件的更多提示，请查看我们关于从计算机中删除恶意软件的指南。

2023 年 6 月 2 日更新。谷歌发言人表示：“Chrome 网上应用店制定了确保用户安全的政策，所有开发者都必须遵守。我们严肃对待针对扩展程序的安全和隐私声明，当我们发现违反我们政策的扩展程序时，我们会采取适当的措施。这些被举报的扩展程序已从 Chrome 网上应用店中删除。”