英国《路透社》6月18日报道称,世界著名网络安全组织Awake Security于近日发布了一份公开报告,指出谷歌公司旗下的浏览器——Chrome存在严重漏洞,使上千万用户的个人资料遭到黑客窃取。
这份报告中的数据指出,Chrome浏览器的内置功能存在代码层级的漏洞,黑客对此加以利用,通过上传恶意的后台程序来攻击某些特定的端口,从而在用户不知情的情况下窃取电子邮箱、银行卡乃至其它账户的私密信息。据悉存在漏洞的内置功能得到了用户的充分使用,经过统计,恶意的后台程序至少被下载了3200万次,这也就意味着起码有3200万下载用户的密码很有可能已经被黑客所窃取。
事实的确如此,近几个月来Chrome安全团队已经多次发出过警示,称针对谷歌浏览器漏洞的网络攻击行为大幅上升,但谷歌可能根本没想到是自己的安全漏洞太过明显,且迟迟没有修补,所以谷歌应该为用户可能丢失的财产承担责任。
据信,恶意后台程序能够让黑客对使用者进行监视,并且搜集用户的个人资料,甚至可以轻松避开杀毒软件的检测,Awake Security组织称这次Chrome浏览器的安全漏洞是史上最恶毒的一次,甚至不排除是谷歌故意为之。
虽然Awake Security组织并没有透露是哪个内置功能存在的安全漏洞,不过根据描述,应该是那种登陆网站时的防广告弹窗的插件或者文档转换工具插件,其传播所带来的影响绝对可以号称是Chrome历史上最广泛的一次。
目前,谷歌公司已经搜集了相关数据,将其交给母公司Alphabet字母表公司来处理,相关的紧急修补版本想必很快就会到来。但是谷歌至今仍然拒绝对此发表评论,并且拒绝透露恶意后台程序究竟造成了多少损失。
Chrome浏览器,是由谷歌公司开发的开源浏览器,代码是基于其他开放源代码软件所编写,虽然保障了自由性,但是也给用户的使用带来了安全隐患。不过Chrome仍然凭借简单和高效的用户界面垄断全球浏览器市场,截止到2019年末,Chrome在全球桌面浏览器的占有率达到了67.29%。另外基于其Blink内核(属于Chromium计划的一部分)和Chromium开源内核开发的浏览器也随处可见,比如Opera以及国内的绝大部分双核浏览器等。
Chrome近年来的安全漏洞可谓频频曝出,数年前就有网络安全组织发现Chrome的插件可能会成为黑客等不法分子入侵的通道,但是谷歌公司否认了漏洞的存在。今年2月,就有安全组织发现谷歌插件存在漏洞,相关的恶意后台程序至少下载了170万次,谷歌调查后将500多个延伸的恶意程序下架,但并未发布过彻底的漏洞修补浏览器版本。
(谷歌公司曾经是棱镜计划的重要参与方,向美国政府提供用户的隐私数据)
需要注意的是,谷歌公司旗下的软件一直就是用户隐私泄露的重灾区,谷歌曾经在2013年被指参加美国政府的棱镜计划,非法窃取民众的私人敏感信息,并将之汇报给有关部门。2018年9月,谷歌旗下的Gmail邮箱曝出存在未经用户同意私自扫描邮件内容的行为,并导致用户个人信息遭到严重泄露,美国于当年9月26日举行听证会,但是谷歌方面表示不予置评。
