恶意网站可以利用浏览器扩展 API,在浏览器内执行代码,来窃取用户敏感信息,比如用户书签、历史浏览记录和 cookies。在这之后,攻击者可能劫持用户的登陆会话。而敏感账户像是电子邮件、社交媒体或工作账户等,可能被攻击者访问。

此外,攻击者这种浏览器扩展 API 的恶意使用方式,可以用来触发恶意文件下载并存储用户设备上。常驻在扩展中存储和检索数据,可以在网络上追踪用户。

这类型攻击的存在已在学术论文中得到验证,研究员用软件识别出近200个将内部扩展 API 通信接口暴露给 Web 应用的扩展,恶意网站可以通过这些软件访问用户浏览器中的数据。

研究院成员在1月初已经向浏览器报告调查结果。各大浏览器基本已采取行动,或下架了有问题扩展。