Un set de 57 de extensii Chrome cu aproximativ 6.000.000 de utilizatori au fost descoperite cu capabilități foarte riscante, cum ar fi monitorizarea comportamentului de navigare, accesarea cookie-urilor pentru domenii și, eventual, executarea de scripturi la distanță, scrie Bleeping Computer.
Aceste extensii sunt „ascunse”, ceea ce înseamnă că nu apar în căutările din Magazinul web Chrome, nici motoarele de căutare nu le indexează și pot fi instalate numai dacă utilizatorul are adresa URL directă.
De obicei, astfel de extensii sunt software private, cum ar fi instrumente interne ale companiei sau suplimente încă în curs de dezvoltare. Totuși, atacatorii le-ar putea folosi pentru a evita detectarea în timp ce le promovează agresiv prin reclame și site-uri rău intenționate.
Extensiile au fost descoperite de cercetătorul John Tuckner de la Secure Annex, care le-a descoperit pe primele 35 după ce a examinat ceea ce el susține că este o extensie suspectă numită „Fire Shield Extension Protection”.
Extensia este foarte ascunsă și conține apeluri înapoi la un API pentru trimiterea informațiilor colectate din browser.
Printr-un domeniu numit „unknow.com” conținut în extensie, Tuckner a găsit extensii suplimentare care conțin același domeniu care pretind că oferă servicii de blocare a anunțurilor sau de protecție a confidențialității.
Cu toate acestea, toate acestea includ permisiuni prea largi care le permit să efectueze următoarele acțiuni:
- Accesare module cookie, inclusiv anteturi sensibile (de exemplu, „Autorizare”)
- Monitorizează comportamentul de navigare al utilizatorului
- Modifică furnizorii de căutare (și rezultatele)
- Injectează și execută scripturi de la distanță pe paginile vizitate prin iframes
- Activează urmărirea avansată de la distanță
Cercetătorul nu a detectat nici o extensie care fură parole sau cookie-uri de utilizator, capabilități excesiv de riscante, codul foarte bine disimulat și logica ascunsă au fost suficiente pentru ca cercetătorul să le eticheteze ca fiind riscante și, potențial, spyware.
„Există semnale adiționale ofuscate în alte funcții că există un potențial semnificativ de comandă și control, cum ar fi capacitatea de a enumera cele mai importante site-uri vizitate, de a deschide/închide file, de a obține lista cu site-uri de top vizitate și de a rula multe dintre capabilitățile de mai sus într-o manieră ad-hoc”, explică Tuckner.
„Multe dintre aceste capabilități nu au fost validate, dar, din nou, prezența acestei capabilități în 35 de extensii care pretind că fac lucruri simple, cum ar fi să te protejeze de extensiile rău intenționate, este destul de îngrijorătoare.”
Mai devreme, cercetătorul a adăugat încă 22 de extensii despre care se crede că aparțin aceleiași operațiuni, ducând totalul la 57 de extensii utilizate de 6 milioane de utilizatori. Unele dintre extensiile nou adăugate sunt și ele publice.
Tuckner spune că multe dintre extensii au fost eliminate din Magazinul web Chrome în urma raportului său de săptămâna trecută, dar altele rămân încă.
Lista completă este disponibilă aici, cu cele cu cel mai mare număr de descărcări sunt enumerate mai jos:
- Cuponomia – Coupon and Cashback (700,000 users, public)
- Fire Shield Extension Protection (300,000 users, unlisted/nelistat)
- Total Safety for Chrome™ (300,000 users, unlisted/nelistat)
- Protecto for Chrome™ (200,000 users, unlisted/nelistat)
- Browser WatchDog for Chrome (200,000 users, public)
- Securify for Chrome™ (200,000 users, unlisted/nelistat)
- Browser Checkup for Chrome by Doctor (200,000 users, public)
- Choose Your Chrome Tools (200,000 users, unlisted/nelistat)
Dacă aveți instalat oricare dintre cele de mai sus, este recomandat să le eliminați imediat și, din abundență de precauție, să efectuați resetări de parolă pe conturile online.
Google a declarat pentru BleepingComputer că este la curent cu raportul lui Tuckner și investighează extensiile.
