別亂下載擴充!間諜軟體透過 3200 萬個 Chrome 擴充程式竊取個資

你喜歡下載 Chrome 的免費擴充功能嗎?俗話說:「免費的最貴」,可能要當心個資是否就這樣悄悄拱手送給他人了。
評論
▲Photo Credit: Shutterstock/ 達志影像
評論

根據《路透社》報導,網路資安公司 Awake Security 研究人員發現,最近有新的間諜軟體(spyware)會透過目前已被下載的 3200 萬個 Google Chrome 瀏覽器擴充程式來攻擊使用者。

他們還指出,科技相關產業並未重視瀏覽器的資安議題,偏偏使用者又常常透過瀏覽器來收發 E-mail 、下載薪資明細或使用其他個資敏感功能。

所謂的間諜軟體,指的是未經用戶同意下,就自行搜集用戶個人資料的惡意軟體。Awake Security 聯合創辦人暨首席科學家 Gary Golomb 表示,這是迄今為止對 Chrome 影響最廣泛的惡意行為,但目前還不清楚最初的分發源頭是誰,因為這些開發人員當初交提交Google 擴充程式時,所提供的相關聯繫方式都是假的。

Google 表示,在接收到警告後,已經於上個月從官方 Chrome 線上應用程式商店下架 70 多個惡意下載程式。發言人也表示,會將這些近期事件作為訓練素材,強化 Google 的自動化和手動分析;但 Google 拒絕回應其他問題,也不回覆為何未自行檢測並下架這些惡意擴充程式。

根據 Awake Security 所發布報告,這些有問題的網域都是向以色列一家小型註冊公司 Galcomm 所購買。然而,Galcomm 負責人 Moshe Fogel 則在信件回覆中表示,公司並沒有參與這些惡意行為,反而常與執法安全機構合作,也在知情後請 Awake Security 提供可疑網域名稱列表。

當 Awake Security 發表報告並列出所有可疑網域後, Moshe Fogel 表示這些網域名使用情況幾乎都不活躍,也會繼續調查其他網域名。

負責管理網域註冊的網際網路名稱與號碼指配組織(ICANN)也表示,截至目前為止,很少收到與 Galcomm 有關的投訴;就算偶爾有,也都與惡意軟體無關。

近年,欺騙性的擴充程式愈來愈猖狂。最初,它們還只是以「免費」為名,悄悄地取用你的瀏覽歷程數據,並不斷推播無關廣告;後來則開始為虎作悵,替政府或商業單位追蹤用戶所在位置、一舉一動等,嚴重侵犯個人隱私。

而這些惡意軟體的開發者,幾乎都把 Chrome 線上應用程式商店作為長期發佈管道。而從 2018 年起,Google 也承諾將提高人工審核以強化資安保護。

俗話說:「免費的最貴」。在享受免費下載各種擴充程式時,可能要當心你我的個資,是否就這樣悄悄拱手送給有心人士了。

核稿編輯:Anny

延伸閱讀:



雲隨商轉.建構由我!2021 AWS 台灣雲端高峰會,9 月 2 日線上磅礴登場

2021 AWS 台灣雲端高峰會將在 9 月 2 號登場,全天候透過線上舉行,免費接軌業界資源、技術交流不斷電,任何需要開拓雲端新經濟或是自我加值的工作者,都不該錯過這場盛會。
評論
Photo Credit:AWS
評論

AWS 公布今年度的雲端技術盛會訊息:2021 AWS 台灣雲端高峰會 ( AWS Summit Online ) 即將在 9 月 2 號登場!全天候透過線上舉行,讓業界的交流與創新不間斷。今年的活動主題定為「雲隨商轉.建構由我」,強調 2021 年企業仍持續尋找新常態的求生法則,不分產業擁抱數位轉型,以及掌握雲端驅動力,人人都應具備開創新局的力量。

2021 AWS 台灣雲端高峰會,聚焦七大雲端主題

Photo Credit:AWS

今年度的 AWS 台灣雲端高峰會,不只將一次集結 AWS 重量級技術專家與產業代表,共同分享最前瞻的技術發展、商業洞見及最佳實務,還有線上互動展覽、hands-on 實作課程、demo 實機展演、一對一線上諮詢等多元體驗,帶領參與者充分掌握雲端技術動態,實現創新藍圖。

透過 2021 AWS 台灣雲端高峰會的活動平台,無論是 AWS 技術與服務的初學者或資深使用者,都可以在高峰會上學習到新事物,並透過七大雲端主題聚焦學習,為自己的能力加值。

2021 AWS 台灣雲端高峰會七大雲端主題,包含:

  • AI 與機器學習
  • 最佳實務分享
  • 資料分析
  • IT 管理
  • 資安與合規
  • 創新思維
  • 應用程式現代化

另外,參與者還可以根據個人的工作執掌、興趣和產業相關課程、技術能力,找到量身定制的議程。以下是 AWS 台灣雲端高峰會官方提供的技術能力分級參考,建議有興趣的與會者不妨以此作為基準,為自己安排相對應的議程。

  • Level 100(初級):課程將涵蓋服務、特色及效益的概觀說明,無須任何課前先修知識。
  • Level 200(中級):課程將聚焦於最佳實務、服務特色詳情以及展示或程式碼範例。需具備初級主題知識。
  • Level 300(高級):課程將深入說明服務特色、經驗分享、部署及架構範例。參與此課程,需對 AWS 服務及 AWS 平台有深入的了解。
  • Level 400(忍者):課程將集中說明更為複雜的主題,如進階編碼、架構、基礎結構設計和解決方案。需具備對主題的深入了解。

立即報名:2021 AWS 台灣雲端高峰會

不限專業大師或怪獸新人,你也應該參加 2021 AWS 台灣雲端高峰會

AWS 台灣雲端高峰會不限於技術開發人員或是企業高階主管,無論是想了解最新趨勢的雲端初心者、尋求技術突破的資深使用者,或是想在有限預算內提升營運效率的企業主,都有機會在「2021 AWS 台灣雲端高峰會」上找到答案。

2021 AWS 台灣雲端高峰會參加對象,包含:

  • 別創新格 - 開發人員
  • 邏輯清晰 - 工程師
  • 足智多謀 - 解決方案或系統架構師
  • 技術神展開 - IT專業人員或技術支援經理
  • 硬體擔當 - 系統管理員
  • 日理萬機 - 創辦人或經營決策者
  • 自我充實 - 學生、教職或研究員

最重要的是,2021 AWS 台灣雲端高峰會可免費報名參加,任何需要開拓雲端新經濟還自我加值的工作者,都不該錯過這場盛會!

立即報名:2021 AWS 台灣雲端高峰會

AWS DeepRacer 人工智慧賽車同步登場!快交出你最夠勁的模型

Photo Credit:AWS

每年跟著台灣雲端高峰會前會舉行的 AWS DeepRacer 智慧自駕車競賽,今年亦不缺席,即日起至 2021 年 10 月 31 日都可以提交模型參加競賽。

為什麼要參加 AWS DeepRacer?因為這是全球首個自動駕駛賽車聯盟盃賽,讓機器學習驅動的賽車模型在場上奔馳,除了要激起開發者的鬥志,也可更加精進與磨練機器學習(ML)、強化學習(RL)技術,是 AWS 送給所有工程師最棒的寓教於樂場域。當然,參加 AWS DeepRacer 競賽不只能贏取獎品和榮耀,也可獲得晉級 AWS DeepRacer 冠軍賽的機會

立即報名:2021 AWS 台灣雲端高峰會