Google 移除两款劫持 Cookie 信息的 Chrome 广告屏蔽插件

被移除的插件分别山寨”了两款主流的广告屏蔽插件 —— Adblock Plus 和 uBlock。

屏蔽浏览网页时出现的广告长期以来都是网民的刚需，正因如此，用户在安装浏览器后往往都会顺便装上一个广告屏蔽插件。然而在这过程中，一旦稍不留意你的电脑就会沦为别人谋利的工具。

Google 近日就从 Chrome Web Store 中删除了两款山寨”的广告屏蔽插件。据 ZDNet 的报道，这两个扩展均是功能齐全的广告屏蔽插件（基于开源广告屏蔽插件的代码），但它们却通过冒充其他正牌”的扩展来欺骗用户。虽然它们也能屏蔽广告，但它的真实目的是通过操纵用户浏览器的 Cookie 来赚取第三方购物或者消费网站的返佣。

via：AdGuard

此处用到了被称为Cookie stuffing”的技术，这是一门比较古老的技术，主要用于联盟营销中，以从合法来源劫持流量。前面提到的山寨扩展"AdBlock"和"uBlock"会通过扩展将额外的信息注入到用户的 Cookie 中，进而达到在 Cookie 有效期内控制 Cookie 的目的。

据了解，这两个插件会在 teamviewer.com, microsoft.com, linkedin.com, aliexpress.com, booking.com 等网站上激活。也就是说，如果用户在访问这些网站时，通过上面的广告访问了购物网站并进行消费，那么插件的作者就会得到一笔返佣。

AdGuard 的联合创始人兼 CTO Andrey Meshkov 表示，这种恶意行为只会在安装后的 55 小时内开始，如果用户打开 Chrome 的开发人员工具，这种行为就会停止。

另外，截止 Google 删除这两款山寨”插件时，"AdBlock" 已被安装超过 80 万次，"uBlock" 则超过 85 万次。插件被删除后，所有用户浏览器中已安装的插件也均已被禁用。

阅读原文：「链接」

Google Play 上的免费VPN应用能将用户手机变成恶意代理

据BleepingComputer网站消息，HUMAN 的 Satori 威胁情报团队发现Google Play 应用商店中有10多款免费VPN应用内含恶意工具包，能在用户不知情的情况下将安卓设备变成住宅代理，进而从事各种恶意活动。

住宅代理是通过位于家中的设备为其他远程用户路由互联网流量，使流量看起来合法，虽然这种代理具有市场研究、广告验证和搜索引擎优化 (SEO) 等合法用途，但也被许多网络犯罪分子利用来隐藏恶意活动，包括广告欺诈、垃圾邮件、网络钓鱼、撞库和密码喷洒。

当住宅代理被秘密安装时，受害者的互联网带宽将在他们不知情的情况下被劫持，并成为恶意活动流量的帮凶”，事后容易给自身惹来法律纠纷。

Satori团队一共列出了 Google Play 上的 28 个应用程序，这些应用程序能秘密地将安卓设备变成代理服务器。在这 28 个应用程序中，有 17 个为免费 VPN 软件。

Satori 分析师报告称，违规应用程序均使用 LumiApps 的软件开发工具包 (SDK)，其中包含 Proxylib ”（一个用于执行代理的 Golang 库）。LumiApps 是一个安卓应用程序货币化平台，声称其 SDK 将使用设备的 IP 地址在后台加载网页并将检索到的数据发送给公司。

LumiApps 主页

这一功能被宣传为完全符合 GDPR/CCPA相关规定，旨在公司将这些搜集来的数据用来改进数据库，以提供更好的产品、服务和定价。然而，尚不清楚开发人员是否知道 SDK 正在将其用户的设备转换为可用于有害活动的代理服务器。

Satori 在观察到代理提供商网站的链接后认为，这些恶意应用程序与俄罗斯住宅代理服务提供商Asocks”有关联。 Asocks 通常在黑客论坛上向网络犯罪分子提供服务。

根据团队的报告，谷歌已于 2024 年 2 月从Google Play应用商店中删除了所有使用 LumiApps SDK 的应用程序，并更新了 Google Play Protect 以检测应用程序中使用的 LumiApp 库。 与此同时，这些VPN应用也在被开发人员删除恶意的 SDK 后重新上线。BleepingComputer 已联系谷歌，问询这些应用现在是否安全，但目前尚未收到回复。

参考来源：

#google_vignette