공식 Google Chrome 확장 프로그램 웹사이트는 애드온을 다운로드하기에 가장 안전한 곳이지만 절대 침투할 수 없는 곳은 아닙니다. 최근 Google이 Chrome 스토어에서 가짜 Microsoft Authenticator 애드온을 제거한 후 이에 대한 증거가 나타났습니다.
크롬 스토어의 인증되지 않은 인증기
The Register에서 보고한 바와 같이 Google은 Chrome 스토어에서 가짜 Microsoft Authenticator 앱을 제거했습니다. 이는 인터넷이 사기 앱에 대한 보고로 가득 찬 지 약 24시간 후에 발생했습니다.
사기꾼은 Microsoft에 아직 Chrome용 공식 Authenticator 확장 프로그램이 없다는 사실을 악용했을 가능성이 큽니다. 따라서 자체 악성 버전을 업로드하면 이에 대항할 공식 앱 없이 검색 결과 상단에 나타납니다.
다행히도 앱이 합법적이지 않다는 명백한 징후가 있었습니다. 예를 들어 이 앱은 Microsoft가 개발했다고 주장하지 않았습니다. 대신 회사 이름이 "Extension"으로 입력되었습니다.
그럼에도 불구하고 확장 프로그램은 수백 건의 다운로드를 보았고 삭제 당시 별 3개 등급을 받았습니다. 따라서 확장 프로그램의 전체 자격 증명을 확인하지 않은 사용자는 함정에 빠질 수 있습니다.
우리는 누군가가 다운로드한 가짜 인증 앱이 무엇을 했는지 완전히 알지 못합니다. 그러나 보고서에 따르면 사람들의 비밀번호를 피싱하기 위해 가짜 Microsoft 로그인 페이지가 표시되었습니다. 또한 CPU 사용량이 높아 크립토재킹에 연루되었을 가능성이 있습니다.
물론 Microsoft는 The Register에 대한 성명서에서 Google Chrome 스토어에 대한 몇 가지 선택 단어를 가지고 있었습니다.
<블록 인용>Microsoft에는 Microsoft Authenticator용 Chrome 확장 프로그램이 없습니다. 회사는 사용자가 의심스러운 확장 프로그램을 Chrome 웹 스토어에 신고할 것을 권장합니다.
이 최근 이벤트는 Chrome 웹 스토어의 보안에 대해 조명합니다. 예를 들어 누군가 Chrome 웹 스토어에서 공식 "Microsoft Corporation" 개발자 프로필을 사용하지 않고 앱을 업로드하여 Google 보안을 어떻게 통과했습니까?
그럼에도 불구하고 공식 앱 스토어에 있더라도 인터넷의 모든 앱을 완전히 신뢰할 수는 없음을 보여줍니다. 이전에 Chrome용 Microsoft Authenticator를 다운로드했다면 최대한 빨리 삭제한 다음 바이러스 검사를 실행하고 Microsoft 계정 비밀번호를 변경하여 모든 것이 정상인지 확인하십시오.
Google 앱 스토어를 위한 나쁜 랩
Microsoft는 이 글을 쓰는 시점에 공식 Authenticator 확장을 출시하지 않았으므로 야생에서 보게 된다면 극도의 주의를 기울여 처리하십시오. 최근 사기는 모든 것이 보이는 것과 같지 않다는 것이 입증되었지만, 사용자의 잘못이 더 많습니까? 아니면 처음부터 스토어에 이를 허용한 Google의 잘못이 더 많습니까?
이와 같은 사기는 모든 앱 스토어에서 발생하지만 자신을 보호할 수 있는 방법이 있습니다. 리뷰, 다운로드 횟수, 개발자를 확인하여 보고 있는 앱이 정품인지 아닌지 더 잘 공제할 수 있습니다.