惡意Chrome擴充要小心！駭客靠Gemini Live 入侵攝影機與電腦權限

Google Chrome被爆出有資安風險，研究人員揭露已修復的權限提升漏洞細節，攻擊者可利用該漏洞突破瀏覽器限制，能獲取高階權限，還會直接看到使用者電腦內的檔案。

記者鄧天心／綜合報導

Google Chrome被爆出有資安風險，攻擊者可利用該漏洞突破瀏覽器限制，能獲取高階權限，還會直接看到使用者電腦內的檔案。

此漏洞追蹤編號為CVE-2026-0628(CVSS評分8.8)，肇因於WebView標籤中的原則執行不足，Google已於2026年1月初釋出修復檔，包含Windows與Mac版本143.0.7499.192/.193，以及Linux版本143.0.7499.192。

惡意Chrome擴充入侵Gemini Live，駭客直接取得攝影機與檔案權限。（圖／123RF）

根據美國國家標準暨技術研究院(NIST)國家漏洞資料庫(NVD)描述，在修復版本之前的GoogleChrome中，WebView標籤原則執行不足，允許攻擊者透過誘使使用者安裝惡意擴充功能，將指令碼或HTML注入特權網頁。

更多科技工作請上科技專區：https://techplus.1111.com.tw/

劫持Gemini Live 存取受害者機敏資料

PaloAlto Networks旗下Unit 42研究員Gal Weizman於2025年11月23日發現並通報此漏洞，他表示，該問題可能讓具備基本權限的惡意擴充功能，奪取Chrome全新Gemini Live面板控制權，攻擊者可利用此漏洞提升權限，在未經同意下存取受害者攝影機與麥克風、擷取任何網站螢幕截圖，並存取本機檔案。

將AI代理功能內建於瀏覽器雖能促進自動化任務，但也成為雙面刃，當攻擊者在惡意網頁中嵌入隱藏提示，並誘騙受害者存取時，該提示可指示AI助理執行原本會被瀏覽器阻擋的操作，導致資料外洩，網頁甚至可操縱代理將指令儲存於記憶體中，使其跨工作階段持續存在。

Weizman指出，將新元件置於瀏覽器高特權環境中，可能衍生跨網站指令碼(XSS)、權限提升及旁路攻擊等漏洞，儘管瀏覽器擴充功能基於既定權限集運作，但成功利用CVE-2026-0628會破壞安全模型，允許攻擊者在「gemini.google[.]com/app」執行任意程式碼，透過declarativeNetRequestAPI，攻擊者得以將JavaScript程式碼注入Gemini。

延伸閱讀：

外媒實測比較ChatGPT與Claude 哪個比較實用？

資料來源：the hackernews

這篇文章 惡意Chrome擴充要小心！駭客靠Gemini Live 入侵攝影機與電腦權限 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。