文章总结: 谷歌与微软下架了拥有160万安装量的modheader插件,因其暗藏休眠数据采集程序。该程序通过加密密钥和定时任务收集浏览域名,但白名单为空未实际激活,仅需一次更新即可启用。插件还向其他域名发送安装卸载信息。此事件暴露了官方商店审核机制难以检测休眠恶意代码的漏洞,提醒用户警惕插件易手后的隐藏功能。 综合评分: 80 文章分类: 恶意软件,安全意识,漏洞预警,安全工具,其他
谷歌与微软下架拥有 160 万安装量的 ModHeader 插件:查出暗藏潜伏数据收集程序
鹏鹏同学 鹏鹏同学
黑猫安全
2026年7月14日 08:57 湖北
在小说阅读器读本章
去阅读
谷歌与微软下架了热门请求头编辑插件 ModHeader。该插件在 Chrome 和 Edge 浏览器上累计约有 160 万安装量,此前研究人员发现官方应用商店版本中暗藏一套浏览记录数据采集程序。
这套采集程序处于潜伏休眠状态:依靠一个空白白名单保持关闭状态,目前没有证据表明它曾经采集或外传过任何浏览域名信息。
本次检测由英国安全公司 Stripe OLT 完成。研究人员对照谷歌网上应用店的原始签名核验代码,确认该采集代码确实存在于正版插件内,并非假冒版本。
本次分析主要针对 Chrome 版本,对应约 90 万用户;第三方统计数据显示 Edge 版本另有约 70 万用户。微软于 7 月 3 日下架了 Edge 插件商店里的 ModHeader,一周后的 7 月 10 日谷歌也将其从 Chrome 网上应用店移除。
7.0.18 版本(插件 ID:idgpnmonknjnojddfkpgkljpfnnfcklj)原本可正常实现 HTTP 请求头修改功能,但其经过压缩混淆的后台代码中还存在另一套隐藏程序。插件首次运行时,会生成设备指纹并加载硬编码加密密钥;用户浏览网页时,程序会提取每个访问页面的域名、加密后在本地存储,最多可保存 1000 个不同域名。
程序内置定时任务,每日将加密域名列表与设备指纹打包,上传至接口地址 api.stanfordstudies[.]com,随后删除本地留存数据。每个用户插件的上传时间做了错位处理,即便后续启用采集功能,也不会出现所有浏览器同时上传数据的情况。HackIndex 对 7.0.18 版本、研究员尤努斯・艾登(Yunus Aydin)对 7.0.17 版本的逆向分析,均证实存在这套数据采集流程。
采集功能仅当浏览器信息匹配内部白名单条目时才会启用,而这份白名单初始为空,校验始终无法通过,因此整套采集流程并未实际收集任何域名数据。但只要通过常规版本更新修改白名单(无需新增权限、也无需用户确认),即可立刻激活采集功能。加密密钥、上传接口地址、定时任务以及本地存储逻辑均已预装在用户设备中。
并非所有异常功能都处于休眠状态:插件在安装、更新和卸载时,会向另一个域名 extensions-hub[.]com 发送请求,上报产品类型、版本号和浏览器信息。此外,页面脚本会以明文格式在本地存储真实请求元数据,这部分功能此前一直在正常运行。
此前自动化安全检测工具均判定 ModHeader 风险等级很低,部分评分高达满分 100 分里的 95 分。这套恶意设计可规避各类常规检测:数据全程加密,扫描工具只能看到密文;主数据上传功能处于关闭状态,沙箱监测不到异常外发流量。
恶意代码被压缩混淆后嵌入正常主程序代码中;相关域名此前并无恶意记录,不会被自动标记;加上插件自带官方签名、受众广泛,长期被视作可信程序。商店签名仅能验证程序来源,无法保证程序后续行为。
Stripe OLT 确认上述域名关联真实可用后台基础设施。stanfordstudies[.]com 和斯坦福大学并无任何关联,是被挪用的旧域名,后端对接 OpenSearch 服务;而 extensions-hub[.]com 主要用于广告业务。
分析期间,两个 API 接口解析至同一台亚马逊云服务器,虽不能完全确认由同一攻击者控制,但存在高度关联。还有若干线索模糊指向中文运营方:包含简体中文语言配置、出现中文标记 “盐”(加密盐值)、使用国内邮件服务商。研究机构并未指明具体攻击组织,本文也不做额外猜测。
隐患其实早有苗头:2023 年 ModHeader 就曾被投诉在搜索结果中植入广告,此后开始转为广告盈利模式。目前无法确认插件的实际控制方,原始开发者身份也尚不明确。
ModHeader 官网仍发布广告合作说明,声称不会收集用户数据,这与内置浏览记录采集程序(即便处于休眠状态)的事实明显矛盾。截至本文发布,插件开发者尚未就此公开回应。
本次下架仅针对这一款插件,真正值得警惕的是这种攻击模式:经过官方商店认证、长期被信任的主流插件里,预装一套完整休眠数据采集程序,仅需一次常规版本更新即可激活。自动化检测工具很难识别这类风险,后续同类改造插件很可能同样通过基础安全检查。
核心启示:插件审核机制必须重点排查从未被测试触发的休眠恶意代码路径、新增外联回传接口,以及插件易手后可通过常规更新启用的隐藏功能。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:黑猫安全 鹏鹏同学 鹏鹏同学《谷歌与微软下架拥有 160 万安装量的 ModHeader 插件:查出暗藏潜伏数据收集程序》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论