安全研究人员展示了一种仅限浏览器的勒索软件技术,该技术可以在用户授予 Chrome 中的网站文件夹访问权限后加密 Android 照片。
该攻击不需要 Android 应用程序、APK 安装、root 访问权限或浏览器漏洞。根据检查点研究,风险来自社会工程和通过文件系统访问 API 公开的合法浏览器权限。
该技术是围绕假人工智能照片或头像升级器构建的。受害者被要求选择一个文件夹,以便网站可以保存“增强”图像,但网页可以读取、修改、加密或覆盖所选目录内的文件。
仅浏览器勒索软件技术的工作原理
攻击从看起来正常的网页开始。它可能声称可以改进个人资料照片、升级图像或生成人工智能增强的头像。
当用户单击工作流程时,页面会要求访问文件或文件夹。这文件系统访问规范表示,在获得许可后,该 API 允许网络应用程序与用户本地设备上的文件进行交互。
一旦用户批准文件夹访问,页面就可以枚举该选定文件夹中的文件。在概念验证中,该页面以图像目录为目标,并在看似例行处理的过程中对图片进行加密。
| 攻击阶段 | 受害者所看到的 | 页面后面会发生什么 |
|---|---|---|
| 饵 | 假人工智能头像或照片升级器 | 该站点准备文件访问请求 |
| 许可请求 | 浏览器提示要求访问文件夹 | 该站点接收所选文件夹的句柄 |
| 假货加工 | 进度屏幕或照片增强消息 | 可以读取和修改所选目录中的文件 |
| 影响 | 勒索风格的覆盖或警告 | 照片可能被加密、覆盖或泄露 |
Android 风险非常严重,因为照片文件夹通常包含的不仅仅是随意的图片。许多用户将身份证明文件、银行屏幕截图、收据、工作图像、恢复代码、医疗记录和多年的私人记忆存储在同一个画廊生态系统中。
Check Point 表示 Chrome 132 为 Android 和 WebView 带来了文件系统访问支持。一个Chromium 眨眼开发帖子从 2024 年 11 月开始,该 API 还描述了 M132 中为 Android 和 WebView 启用的 API。
研究人员后来在几款 Android 设备上测试了这个概念,并表示 Chrome 148 允许选择照片目录,包括 DCIM 文件夹的根目录。攻击面比完整磁盘访问更窄,但所选照片目录仍然可以保存高度敏感的数据。
这与普通勒索软件有何不同
传统勒索软件通常依赖于恶意文件、已安装的应用程序、漏洞或受感染的端点。这种仅限浏览器的方法将执行环境转移到浏览器本身。
网站不需要突破浏览器沙箱。它在用户批准访问后使用真正的网络平台功能,这使得提示成为关键的安全决策。

这也使得检测变得更加复杂。用户可能不会认为打开网页正在运行恶意软件,尤其是当页面从未要求他们安装任何内容时。
- Android 上无需安装 APK。
- 不需要 root 访问权限。
- 不需要浏览器漏洞。
- 该页面依赖于用户批准的文件夹访问。
- 该诱饵看起来就像一个普通的照片编辑或人工智能放大工具。
这一发现背后的人工智能生成样本
研究人员发现的原始样本被称为 InfernoGrabber v9.0。它是作为一个 Python Flask 应用程序构建的,服务于 Discord 主题的前端,充当头像 AI 升级器。
Check Point 表示,该样本是在过去一年对 DeepSeek 的近 3,000 个文件进行审查时出现的。突出的文件使用 SHA-256 哈希值 07c39f79ab92fb21557b82283472dce1c112f577d796111fb752c3c6d84c86b5。
该样本并未可靠地提供其声称的所有恶意功能。然而,有一部分很重要:它将勒索软件风格的目标与浏览器文件选择器方法联系起来,这些方法可以请求访问本地文件和文件夹。
| 物品 | 细节 |
|---|---|
| 样本中使用的名称 | InfernoGrabber v9.0 |
| 初级诱饵 | 以假 Discord 为主题的 AI 头像升级器 |
| 样品类型 | 具有嵌入式 HTML 和 JavaScript 的 Python Flask 应用程序 |
| 关键API被滥用 | 文件系统访问API |
| 观察到的实际使用情况 | 研究人员没有报告任何证实的野外活动 |
文件系统访问 API 合法但敏感
文件系统访问 API 的存在是出于有用的原因。基于 Web 的编辑器、开发人员工具、图像工具和生产力应用程序可能需要在用户批准的情况下打开和保存本地文件。
Chrome 还一直在完善权限体验。一个Chrome 开发者版这篇文章解释了持久读写访问如何减少对受信任应用程序的重复提示,同时仍然为用户提供撤销访问的方法。

当不熟悉的站点使用令人信服的工作流程来使广泛的文件夹访问感觉正常时,就会出现风险。要求临时输出文件夹的照片编辑器与要求访问主照片库的随机网站不同。
浏览器风险已为人所知
底层浏览器问题并不是凭空出现的。这文件系统访问API文档本身包括与恶意软件和勒索软件相关的安全注意事项。
学术研究人员之前也研究过此类攻击。 USENIX 安全纸现代网络浏览器上的勒索软件研究了恶意 Web 应用程序如何滥用浏览器文件访问来加密本地文件。
新的关注点是人工智能辅助代码生成如何将模糊的恶意请求与真实的浏览器功能联系起来。这降低了可能不知道 API 存在的攻击者的知识障碍。
Android用户应谨慎对待文件夹提示
用户应将浏览器文件夹访问提示视为高风险决策,尤其是在 Android 上。允许文件编辑的提示可以让站点对所选文件夹进行有意义的控制。
Chrome 用户可以通过浏览器控件和网站设置查看和撤销文件访问权限。这Chrome 权限指南指出当站点不再需要访问权限时,可以从浏览器界面中删除访问权限。
用户还应避免让未知的人工智能工具访问包含个人照片、身份证件、财务文件或工作材料的文件夹。测试不熟悉的 Web 工具时,临时空文件夹更安全。
- 不要向未知的照片编辑器或 AI 升级器授予文件夹访问权限。
- 使用临时文件夹而不是主图片、视频或 DCIM 目录。
- 保留重要照片的离线和云备份。
- 定期更新 Chrome 和 Android。
- 使用基于浏览器的编辑工具后检查站点权限。
- 对于敏感图像,首选受信任的应用程序或已建立的服务。
安全团队应该从研究中得到什么
企业安全团队不应将浏览器视为低风险执行空间。当用户批准权限时,现代 Web API 可以提供对本地资源的访问。
这USENIX 研究和最新的概念证明都表明了为什么文件访问提示需要在托管环境中进行更清晰的用户教育、更强的监控和更严格的策略控制。
使用托管 Chrome 或基于 Chromium 的浏览器的组织应检查是否可以限制有风险的文件访问功能、监控异常的浏览器数据流,并警告用户授予对敏感文件夹的写入访问权限。
| 观众 | 建议采取的行动 |
|---|---|
| 移动用户 | 拒绝来自未知站点的文件夹访问并保留照片备份。 |
| 父母和家人 | 教导用户不要批准 AI 照片工具的广泛文件夹提示。 |
| IT 管理员 | 查看文件系统访问控制的托管浏览器策略。 |
| 安全团队 | 监控基于浏览器的上传、异常文件访问和可疑的人工智能主题诱饵。 |
| 开发商 | 请求所需的最窄文件夹访问权限并解释为什么需要访问权限。 |
为什么现在这很重要
该研究表明,当与社会工程和人工智能辅助开发结合使用时,合法的浏览器功能可能会变得危险。该问题并不是用户可以将其理解为普通恶意软件感染的简单 Chrome 错误。
它还说明了为什么权限提示现在具有更大的重要性。授予网站对文件夹的访问权限可能类似于让软件直接处理本地文件。
对于 Android 用户来说,最安全的方法很简单:不要让不熟悉的网站访问照片文件夹。对于组织来说,浏览器权限值得与应用程序权限和端点控制同等级别的策略审查。
FAQ
什么是仅限浏览器的勒索软件?
仅浏览器勒索软件是一种在网络浏览器内运行的勒索软件技术,而不是使用已安装的应用程序或本机可执行文件。在这种情况下,攻击依赖于用户通过文件系统访问 API 授予文件夹访问权限。
Chrome 文件系统访问 API 漏洞是否需要浏览器利用?
不需要。该技术不需要利用 Chrome 漏洞。在用户授予网站访问和编辑选定文件夹中文件的权限后,它会滥用合法的浏览器功能。
这种勒索软件技术会影响 Android 照片吗?
是的。 Check Point 证明,当用户选择图片或 DCIM 等文件夹并授予恶意网页文件编辑访问权限时,该技术可以针对 Android 照片目录。
这种仅限浏览器的勒索软件是否已用于实际攻击?
研究人员表示,在分析时,他们尚未发现证据表明这种浏览器本机勒索软件模式已在广泛的现实世界活动中采用。已发布的案例重点关注人工智能生成的不完整样本和受控概念验证。
Android 用户如何保护照片免受仅浏览器勒索软件的侵害?
Android 用户应避免授予未知网站的文件夹访问权限,使用在线工具的临时文件夹,保留重要照片的备份,更新 Chrome 和 Android,并在使用基于浏览器的编辑器后检查网站权限。
