Chrome 充功能藏資安風險：裝網路測速工具取用戶證

近期，資安專家發現了一種新的資安威，名為 ParaSiteSnatcher 的意 Chrome 充功能，可以取用戶的密碼、信用卡等個資。這種充功能可以裝成網路測速工具，讓用戶誤以為是正常的工具，而實際上卻在取用戶的敏感資訊。

ParaSiteSnatcher 的運作原理

ParaSiteSnatcher 是一種意 Chrome 充功能，可以透過 Chrome Browser API 來截用戶的網路請求，包括密碼、信用卡等敏感資訊。這種充功能可以裝成正常的網路測速工具，讓用戶誤以為是正常的工具，而實際上卻在取用戶的敏感資訊。

根據勢科技的研究，ParaSiteSnatcher 可以截用戶的網路請求，包括密碼、信用卡等敏感資訊，並將其傳送給客。這種充功能可以運行在 Chrome 器上，包括基於 Chromium 的器，例如新版的 Microsoft Edge、Brave 和 Opera。

攻擊手法

客可以透過各種方式來安裝 ParaSiteSnatcher 充功能，包括透過電子件件、意網站下載等方式。一次安裝好後，ParaSiteSnatcher 就可以開始取用戶的敏感資訊。

根據 iThome 的報導，客也可以透過案共享平臺的漏洞來安裝 ParaSiteSnatcher 充功能。這種攻擊手法可以讓客在用戶不知情的情況下安裝意充功能，進而取用戶的敏感資訊。

防範措施

為了防範 ParaSiteSnatcher 的攻擊，用戶可以採取以下措施：

• 定期更新 Chrome 器和充功能
• 使用安全的網路連線，例如 HTTPS
• 避免安裝來路不明的充功能
• 定期檢查器的安全設定

MITRE ATT&CK 應

• T1190 – 安裝意軟體
• T1204 – 證取

參考資料與原文來源

• 原文來源: 勢科技
• 原文來源: iThome

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。