恶意软件虽然很流行，但 Web 浏览器扩展不一定安全。就像您可能安装在计算机上的任何软件一样，它们可能包含旨在做坏事的恶意代码。扩展程序潜在危害的最新演示以概念验证 (PoC) 恶意软件攻击的形式出现。安全研究人员开发了“Cookie-Bite”，它展示了 Chrome 扩展程序如何秘密劫持会话令牌。用简单的英语来说，这意味着坏人可以像您一样登录几乎任何网站。他们所要做的就是诱骗您安装看似无害的浏览器扩展。或者，如果他们获得了对您计算机的访问权限，他们就可以在您不知情的情况下安装恶意扩展程序。让我们解释一下 Cookie-Bite 攻击概念的工作原理，以及为什么您通常希望避免安装扩展程序。Cookie-Bite PoC 攻击如何工作一般来说，每当您登录网站时，都必须输入用户名和密码。您甚至可能需要执行额外的步骤来进行双因素身份验证（2FA，又名两步验证或 2SV）。之后，您的浏览器会创建一个“会话 cookie”——一个包含编码信息的文本文件，可让您保持登录网站的状态。如果威胁行为者窃取了该 cookie 并将其放在自己的计算机上，他们通常会立即以您的身份登录，无需知道您的用户名、密码和 2FA 方法。开发 Cookie-Bite 的研究人员将其范围限制为窃取用于身份验证的 Microsoft cookie。但是，他们指出，它可以很容易地被重新设计来窃取与谷歌或任何其他网站相关的cookie——大概包括iCloud等苹果服务。只要受害者访问微软登录页面，Cookie-Bite就会监控。一旦浏览器保存 cookie，扩展程序就会将它们泄露给攻击者。它通过在后台提交 Google 表单来实现这一点，而用户完全不知情或不同意。当 rese