恶意扩充程式滥用Chrome Sync架构来窃取用户资讯

来自SANS网络风暴中心的一名渗透分析师Bojan Zdrnja，近日揭露了一个恶意的Chrome扩充程式，可滥用Chrome Sync功能来窃取Chrome用户的机密资讯。

Zdrnja指出，此一恶意扩充程式名为Forcepoint Endpoint Chrome Extension for Windows，但它既与资安业者Forcepoint无关，该程式也并未具备任何端点保护功能，只是盗用了Forcepoint的品牌，此外，该程式并未登上Chrome Web Store，且必须在Chrome用户切换至开发者模式（Developer mode）之后才能安装。

在受害用户安装了该程式之后，它会在背景执行脚本程式，以接收或传送讯息，而且利用的是Google的Chrome Sync架构。分析显示，该脚本程式所呼叫的API容许扩充程式之间进行通讯或传讯息，还能判断所接收的讯息是否涉及认证令牌，并进一步确认Chrome是否存放了该令牌。

Zdrnja说明，骇客使用的是chrome.storage.sync.get与chrome.storage.sync.save两项Chrome Sync功能，且会把所有的参数值从Chrome自动同步至Google云端，为了取得这些参数值，骇客只要在另一台执行Chrome的装置，以同样的账号登入Google即可，之后这两台装置上的Chrome就能利用Google架构进行通讯，尽管Google限制了通讯规模，只能传递少量的资料，但对于盗取认证令牌而言已经足够。

Zdrnja还使用了另一个合法Chrome扩充程式Google Docs Offline，来验证骇客的手法，他先在第一台装置上把Chrome切换成开发者模式，利用DevTools控制台发布命令，传送“Hello from Internet Storm Center”讯息，接着再登入第二台装置，同样进入DevTools控制台，就收到了“Hello from Internet Storm Center”讯息。

研究人员表示，这代表骇客可把Chrome Sync架构当作C&C的通讯管道，或者是窃取小型的机密资讯，此外，所有Chrome发出的请求都被导向clients4.google.com，包括恶意请求在内，由于该网址也是Google用来确认Chrome是否连网的机制，因此无法简单地透过封锁该网址来因应。

Zdrnja说，此一分析只是为了协助大家理解恶意的浏览器扩充程式能够有多可怕，特别是当许多重要应用都可直接在浏览器上执行之际，不管是内部的CRM、文件管理系统或各种重要系统的存取等，他建议企业可透过群组原则，来管控使用者所安装的所有扩充程式。