GoPlus：瀏覽器插件劫持問題應如何防範

近日推特用戶因 Chrome 瀏覽器安裝 Aggr 插件導致瀏覽器 Cookies 被劫持，資產損失超過 100 萬美金

瀏覽器插件（擴展程序）的本質是用戶委託插件代為去處理一部分的網頁資訊，但它實際上不僅能訪問和修改原始網頁資訊，還可以做到獲取定位、讀取/修改剪切板、讀取 Cookies/歷史記錄、屏幕截圖以及鍵盤記錄等等，也就是說這些插件不但可以獲取類似 Cookies 這樣的資訊，也可以直接決定我們看到的網頁是什麼樣的。

在瀏覽器里發生的基於 Web 端的攻擊，系統安全機制基本無法識別，瀏覽器也無法識別插件的訪問是否是被用戶允許的，所以理論上瀏覽器插件比客戶端軟體的攻擊行為更難被識別。

GoPlus 安全團隊建議用戶提高安全意識，參考如下方法安全使用瀏覽器插件：

1、不使用來路不明的插件（擴展程序），僅從官方市場下載插件。

2、即便官方插件也可能被駭客篡改，比如直接替換安裝包或者供應鏈攻擊等，使用過程中一定要注意控制訪問權限，不授予非必要的權限，不要默認在所有網站讀取/更改網站數據，設置插件權限為【當您點擊此擴展程序時】或【在特定網站】可以有效防範惡意擴展程序獲取 Cookies，步驟如下：

3、隔離插件瀏覽器和交易資金瀏覽器。

4、儘量不使用網頁端登錄交易所，使用無痕瀏覽進行敏感操作，不使用交易網頁時立即登出，並定期清除瀏覽器緩存與 Cookies 等資訊。

原文連結