Peste 900.000 de browsere Chrome, Firefox și Edge au fost transformate, fără știrea utilizatorilor, în unelte pentru extragerea automată de conținut de pe internet, potrivit unei investigații realizate de specialistul în securitate cibernetică John Tuckner, de la SecurityAnnex, relatează ArsTechnica.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Investigația arată că 245 de extensii aparent inoffensive, de la manageri de semne de carte la amplificatoare de sunet , folosesc o bibliotecă JavaScript open source numită MellowTel-js. Aceasta permite monetizarea extensiilor prin intermediul unei rețele de clienți care plătesc pentru a obține date publice de pe site-uri, fără a fi detectați ca boți.
Cine stă în spatele rețelei: MellowTel și Olostep
Tuckner a descoperit o legătură directă între MellowTel și o companie numită Olostep, care se prezintă drept „cel mai fiabil și rentabil API de web scraping din lume”. Potrivit site-ului companiei, serviciul permite evitarea detectării automate de tip bot și poate lansa până la 100.000 de cereri simultane în câteva minute.
Utilizatorii extensiilor nu știu însă că browserul lor este folosit pentru a accesa automat site-uri alese de clienții Olostep. Biblioteca MellowTel activează o conexiune WebSocket către un server Amazon AWS, care trimite instrucțiuni privind ce pagini să fie accesate în fundal, prin intermediul unui iframe invizibil.
„Nu doar că utilizatorii devin boți fără știrea lor, dar și navigarea lor online devine mult mai vulnerabilă la atacuri”, avertizează Tuckner.
Vulnerabilități ascunse și date colectate în fundal
Pentru a funcționa, extensiile solicită permisiuni speciale în fișierul manifest — precum declarativeNetRequest — care permit modificarea cererilor și răspunsurilor HTTP. În practică, biblioteca elimină anteturile de securitate (precum Content-Security-Policy și X-Frame-Options) care, în mod normal, protejează utilizatorii de atacuri de tip cross-site scripting.
Odată eliminate, extensia poate insera conținut necunoscut în orice pagină accesată, fără ca utilizatorul să observe. „Această slăbire deliberată a protecției navigării îi expune pe utilizatori la riscuri reale”, avertizează expertul.
Datele colectate: locație, lățime de bandă, chiar și documente sensibile
Deși fondatorul MellowTel insistă că biblioteca nu colectează date personale și că este doar o formă „etică” de monetizare, precedentul există: în 2019, extensii similare instalate pe 4 milioane de browsere colectau tot traficul utilizatorilor și îl vindeau către Nacho Analytics — o companie care a fost închisă după ce a fost expusă de Ars Technica.
Printre datele interceptate atunci: fișe fiscale, documente medicale, atașamente private din Facebook Messenger, chiar informații interne ale companiilor Tesla, Blue Origin, Pfizer sau Roche.
Extensiile afectate: unele eliminate, altele încă active
Până la momentul publicării, statusul extensiilor este următorul:
- 45 de extensii Chrome: 12 au fost dezactivate (unele pentru malware).
- 129 de extensii Edge: 8 sunt inactive.
- 71 de extensii Firefox: doar 2 au fost dezactivate.
Unele extensii au fost eliminate complet, altele doar au fost actualizate pentru a scoate biblioteca MellowTel. Lista completă este disponibilă pe site-ul cercetătorului John Tuckner.
Concluzie: o problemă de securitate care necesită intervenție rapidă
Cazul MellowTel scoate la iveală o breșă majoră în ecosistemul extensiilor de browser și în modul în care acestea pot ocoli protecțiile web esențiale. Deși aparent „gratuite” și utile, multe extensii ascund mecanisme care expun utilizatorii și rețelele lor la riscuri semnificative.
Utilizatorii sunt sfătuiți să-și verifice extensiile instalate, să le actualizeze frecvent și să renunțe la cele care solicită permisiuni neobișnuite sau provin din surse nesigure.
