然而，Chrome网上商店的另一个应用程序被发现可以收集敏感数据

网络安全专家总是建议不要从不可靠或未知的来源下载应用程序，但是对于合法平台，例如Chrome Web Store呢？虽然建议从合法网站获取所需的工具，但这并不意味着你必须放松警惕。可悲的是，即使是信誉良好的消息来源也可能不时包含有潜在危险的软件。不久前，研究人员开始向用户发出有关名为Stylish的扩展的警告，因为发现它可以收集个人身份信息 。

报告发布后，Google和Mozilla都从他们的网上商店中删除了可能存在危险的扩展程序。然而，很快就有人谈论另一个记录数据的Chrome扩展程序。这一次，可疑插件针对的是Web开发人员。因此，专家建议应用程序的创建者可能会提出工业间谍活动。当您继续阅读我们的博客文章时，我们会告诉您有关该工具的更多信息以及如何处理这些情况。

我们想强调的是，被指控收集Web开发人员数据的应用程序是一个名为Postman的Chrome扩展程序的克隆。换句话说，即使工具看起来相同，它们也不是，因为其中一个应用程序是由合法公司创建的，另一个是来自未知的开发人员，他们试图欺骗和窃取用户的数据。

最初的插件是为Web开发人员创建的，因为它可以加速API（应用程序编程接口）开发。由于记录数据的虚假Chrome扩展程序是Postman的克隆版，因此它提供了相同的功能，即使是经验丰富的Web开发人员也无法发现任何差异。超过350万开发人员使用原始工具， 据报道，在克隆被ExtraHop的网络安全专家发现之前，它的克隆安装量超过 2.7万 。据他们的团队称，该扩展程序在发现其恶意活动后仍在Chrome网上商店停留了一个月。正如专家报告所声称的那样，他们已经在2018年11月7日通知了所提到的商店有关可疑工具的信息，并要求将其删除。尽管如此，在ExtraHop在其网站上发布报告后，仅在2018年12月6日，假冒Chrome扩展程序已从平台中删除。

这一切都始于专家们检测到其组织的一台计算机在一个不寻常的端口上与外部IP地址通信时（6332）。进一步的研究表明，有明文的HTTP流量被混淆了，换句话说，从原来的形式变成了离散的形式，使它看起来像普通的互联网流量，并被发送到提到的IP地址。这意味着，有些数据是在未经授权的情况下从公司的计算机上传输的。后来，ExtraHop发现另一名员工的计算机具有相同的流量。让它看起来更加可疑的原因是两台计算机即使没有被使用也会使用未知的IP地址进行通信，因为这两个员工当天都没有工作. 因此，专家必须关闭机器并出于安全原因强行从所有帐户注销用户。

接下来，网络安全专家了解到，提到的HTTP流量有一个名为Postman的Chrome扩展程序标题。知道原始工具，他们立即意识到它不可能，所以他们开始检查它。假邮差有一个名为hanterforme的未知出版商，它有一个不同的徽标图像。这只能证明在安装程序之前了解程序的重要性，因为知道它的名称是不够的。幸运的是，在这种情况下，该公司发现虚假的Chrome扩展程序无法泄露任何敏感信息，尽管该工具可能记录了访问过的URL地址或有关用户浏览习惯的类似信息。

但是，如果扩展程序长时间无人值守，则可能会盗取敏感数据，如登录凭据，会话cookie或具有内部主机名的URL。获取任何公司内部网络的URL可以揭示有关未发布产品，新功能或内部网络结构的各种详细信息。因此，只有自然专家才会怀疑这种不可靠的延伸可能被视为间谍和获取各种组织秘密的手段。无论情况如何，幸运的是，虚拟的Chrome扩展记录数据被发现和处理得相当快。显然，ExtraHop和假冒Chrome扩展的事件很可能只是其中的一个，因为正如我们之前所说的，相当多的网络开发人员下载了可疑工具。尽管如此，它仍然不知道它可能影响了多少企业，或者它的创建者是否成功地从任何人那里获取敏感数据。

考虑到所有事情，所讨论的扩展完全有可能不是我们将要听到的最后一个假扩展。因此，很明显像Chrome网上应用店这样的平台需要找到一种方法来阻止潜在的危险工具被忽视。然而，重要的是用户也要更加小心。在下载新扩展程序之前，您应该总是进行一些研究，以便了解他们的徽标应该是什么样子以及谁开发它们。通过这种方式，您可以通过查看其描述来识别假装合法的应用程序。有关如何保护自己免受恶意Chrome扩展程序的更多提示，请继续阅读此处 。