SquareX 发现 Chrome 扩展 OAuth 漏洞

据Cybersecuritynews消息， SquareX 在约一周前报告了针对 Chrome 扩展开发者的大规模攻击趋势。12 月 25 日，Cyberhaven 的恶意浏览器扩展在 Chrome 商店发布，攻击者借此劫持认证会话并窃取机密信息，其攻击方式为通过钓鱼邮件诱导开发者连接谷歌账户至 “隐私政策扩展”，从而获取编辑、更新和发布权限。SquareX 研究人员此前已在 DEFCON 32 展示 MV3 兼容 Chrome 扩展的关键漏洞及攻击手段。鉴于此，SquareX 强烈建议组织和用户谨慎安装和更新浏览器扩展，并进行全面安全审查。