500 розширень Chrome, які збирали дані користувачів в рекламних цілях

Експерти Duo Security виявили в Chrome Web Store більше 500 потенційно шкідливих розширень для Google Chrome. Розширення завантажували історію переглядів веб-сторінок непомітно для користувачів на сторонні сервери.

Спочатку експерти з кібербезпеки за допомогою інструменту CRXcavator виявили 70 таких розширень із загальним числом установок понад 1,7 млн. Даний інструмент Duo Labs створила на початку минулого року і вже не раз використовувала при аналізі. Інформацію передали в Google і вже при спільній роботі знайшли і видалили ще 430 шкідливих розширень. Повний список представлений в публікації.

Розширення відстежували історію переглядів користувачів, а потім завантажували її на сервери зловмисників. В результаті інформація використовувалася в рекламних цілях.

Практично всі 500 плагінів працювали схожим чином, і всі вони перенаправляли користувачів на сайти рекламодавців, причому, відомих мереж і брендів Macy’s, Dell і Best Buy. Однак в деяких випадках відбувалося перенаправлення на шкідливі і фішингові сайти. Деякі шкідливі розширення були з безпосередньо пов’язані з програмами Mapstrek (має можливість відкривати буфер обміну) і ПЗ Arcadeyum (зчитує пов’язані з термінальною службою ключі і отримує доступ до потенційно важливої інформації з локальних браузерів).

_{Фото: duo.com}

Приклад команд, які хост одержує від сайтів, витягнутих з пам’яті на порушнику хості.

_{Фото: duo.com}

Модулі перенаправили браузери на один з декількох жорстко заданих керуючих серверів, щоб отримати додаткові інструкції, місця для завантаження даних, списки каналів реклами і домени для майбутніх перенаправлень. Заражені браузери потім завантажували для користувача дані, оновлювали конфігурації плагінів і передавали потік перенаправлень сайтів.

Всі сайти, крім одного, використовувані в схемі, що раніше не класифікувалися як шкідливі або шахрайські з боку служб розвідки загроз. Винятком був штат Міссурі, в якому DTSINCE [.] Com, один з небагатьох жорстко запрограмованих серверів управління, був вказаний як фішинговий сайт.

Google почала заходи по боротьбі з шкідливими розширеннями для Chrome після виявлення програм, які порушують політику виробників браузерів. Компанія заявила, що «виявила значне збільшення кількості шахрайських транзакцій, пов’язаних з платними розширеннями Chrome, метою яких є використання користувачів». В Google попередили, що для видалення нав’язливих і зловмисних розширень вони вводять більш суворі правила: «Дозволи вашого розширення повинні бути якомога вужчими, а весь ваш код повинен бути включений безпосередньо в пакет розширення, щоб мінімізувати час перевірки».

Днями Google вирішила видалити з інтернет-магазину Chrome розширення диспетчера паролів Dashlane через проблеми з «конфіденційністю призначених для користувача даних і використанням дозволів». Розширення диспетчера дозволяють управляти своїми додатками, темами, змінювати налаштування конфіденційності і так далі. При цьому у Dashlane понад 3 млн клієнтів. Зараз компанії спільно вирішують проблему, а поки диспетчер повернули в магазин Chrome.

З березня Google перестане приймати нові додатки Chrome Apps . Однак розширення Chrome для браузера продовжать працювати.