Chrome 확장 프로그램 'Save Image as Type'은 수백만 명이 WebP 이미지를 JPG 또는 PNG로 저장하기 위해 사용했으나, 맬웨어로 식별되어 Google에 의해 제거되었습니다. 이 도구는 탐색 데이터에 접근하기 위해 광범위한 권한을 요청했으며, 악성 코드를 포함하고 있었습니다. 이 사례는 타사 확장 프로그램에 무제한 액세스 권한을 부여하는 위험을 드러냅니다.
'쿠키 스터핑'과 과도한 권한의 위험 🚨
발견된 악성 기술은 'cookie stuffing'으로, 확장 프로그램이 동의 없이 제휴 쿠키를 주입하여 사기 수익을 생성하는 것입니다. all_urls 권한을 가지면 방문한 모든 사이트의 데이터를 읽고 수정할 수 있습니다. 이는 확장 프로그램을 활성 세션, 양식 및 온라인 메일이나 은행의 민감 정보에 접근할 수 있는 마스터 키로 만듭니다.
당신의 이미지 변환기가 이제 제휴 마케터로 일합니다 😒
당신이 포럼에 업로드하기 위해 그 WebP를 PNG로 변환하느라 애쓰는 동안, 확장 프로그램은 선언되지 않은 두 번째 직업을 가지고 있었습니다. 당신이 모르는 사이에, 백그라운드에서 제휴 쿠키를 조작하며 추가 수수료를 벌고 있었습니다. 요청되지 않은 마케팅 추가 기능이 포함된 이미지 변환 서비스. 적어도 다기능이었습니다.