近日推特用户因 Chrome 浏览器安装 Aggr 插件导致浏览器 Cookies 被劫持,资产损失超过 100 万美金
浏览器插件(扩展程序)的本质是用户委托插件代为去处理一部分的网页信息,但它实际上不仅能访问和修改原始网页信息,还可以做到获取定位、读取/修改剪切板、读取 Cookies/历史记录、屏幕截图以及键盘记录等等,也就是说这些插件不但可以获取类似 Cookies 这样的信息,也可以直接决定我们看到的网页是什么样的。
在浏览器里发生的基于 Web 端的攻击,系统安全机制基本无法识别,浏览器也无法识别插件的访问是否是被用户允许的,所以理论上浏览器插件比客户端软件的攻击行为更难被识别。