BlockBeats によると、Twitter ユーザーは最近、Chrome ブラウザにインストールされた Aggr プラグインによるブラウザ クッキーの乗っ取りにより、100 万ドルを超える損失を被ったとのことです。ブラウザ プラグイン、つまり拡張機能は、基本的に、ユーザーが Web ページ情報の一部を処理するために委任するツールです。ただし、元の Web ページ情報にアクセスして変更できるだけでなく、位置情報の取得、クリップボードの読み取り/変更、クッキー/履歴の読み取り、スクリーンショットの撮影、キーストロークの記録もできます。つまり、これらのプラグインはクッキーなどの情報を取得できるだけでなく、ユーザーが閲覧する Web ページを直接決定することもできます。
ブラウザで発生する Web ベースの攻撃は、通常、システムのセキュリティ メカニズムでは認識できず、ブラウザはプラグインのアクセスがユーザーによって許可されているかどうかを識別できません。そのため、理論的には、ブラウザ プラグイン攻撃はクライアント ソフトウェア攻撃よりも認識が困難です。
GoPlus セキュリティ チームは、次の方法に従ってセキュリティ意識を高め、ブラウザー プラグインを安全に使用するようユーザーにアドバイスしています。
1. 出所不明のプラグイン(拡張機能)は使用せず、公式マーケットからのみプラグインをダウンロードしてください。
2. 公式プラグインであっても、インストールパッケージを直接置き換えたり、サプライチェーン攻撃などによりハッカーに改ざんされる可能性があります。使用中は、必ずアクセス権限を制御し、不要な権限を付与せず、すべてのウェブサイトでウェブサイトデータの読み取り/変更をデフォルトにせず、プラグインの権限を「この拡張機能をクリックしたとき」または「特定のウェブサイトで」に設定すると、悪意のある拡張機能がクッキーを取得するのを効果的に防ぐことができます。
3. プラグイン ブラウザと取引資金ブラウザを分離します。
4. Web ページ経由で取引所にログインしないようにし、機密性の高い操作にはシークレット ブラウジングを使用し、取引 Web ページを使用していないときはすぐにログアウトし、定期的にブラウザのキャッシュと Cookie をクリアします。