500 расширений Chrome собирали личные данные пользователей в рекламных целях +7





image

Эксперты Duo Security обнаружили в Chrome Web Store более 500 потенциально вредоносных расширений для Google Chrome. Расширения загружали историю просмотров веб-страниц незаметно для пользователей на сторонние серверы.

Изначально эксперты по кибербезопасности при помощи инструмента CRXcavator выявили 70 таких расширений с общим числом установок более 1,7 млн. Данный инструмент Duo Labs создала в начале прошлого года и уже неоднократно использовала при анализе. Информацию передали в Google и уже при совместной работе нашли и удалили еще 430 вредоносных расширений. Полный список представлен в публикации.

Расширения отслеживали историю просмотров пользователей, а затем загружали ее на серверы злоумышленников. В итоге информация использовалась в рекламных целях.

Практически все 500 плагинов работали схожим образом, и все они перенаправляли пользователей на сайты рекламодателей, причем, известных сетей и брендов Macy's, Dell и Best Buy. Однако в некоторых случаях происходило перенаправление на вредоносные и фишинговые сайты. Некоторые вредоносные расширения были с непосредственно связаны с программами Mapstrek (имеет возможность открывать буфер обмена) и ПО Arcadeyum (считывает связанные с терминальной службой ключи и получает доступ к потенциально важной информации из локальных браузеров).

image
image Фото: duo.com

Пример команд, которые хост получает от сайтов, извлеченных из памяти на затронутом хосте.

imageФото: duo.com

Плагины перенаправили браузеры на один из нескольких жестко заданных управляющих серверов, чтобы получить дополнительные инструкции, места для загрузки данных, списки каналов рекламы и домены для будущих перенаправлений. Зараженные браузеры затем загружали пользовательские данные, обновляли конфигурации плагинов и передавали поток перенаправлений сайтов.

Все сайты, кроме одного, используемые в схеме, ранее не классифицировались как вредоносные или мошеннические со стороны служб разведки угроз. Исключением был штат Миссури, в котором DTSINCE [.] Com, один из немногих жестко запрограммированных серверов управления, был указан как фишинговый сайт.

Google начала меры по борьбе с вредоносными расширениями для Chrome после обнаружения надстроек, нарушающих политику производителей браузеров. Компания заявила, что «обнаружила значительное увеличение количества мошеннических транзакций, связанных с платными расширениями Chrome, целью которых является использование пользователей». В Google предупредили, что для удаления навязчивых и злонамеренных расширений они вводят более строгие правила: «Разрешения вашего расширения должны быть как можно более узкими, а весь ваш код должен быть включен непосредственно в пакет расширения, чтобы минимизировать время проверки».

На днях Google решила удалить из интернет-магазина Chrome расширение диспетчера паролей Dashlane из-за проблем с «конфиденциальностью пользовательских данных и использованием разрешений». Расширения диспетчера позволяют управлять своими приложениями, темами, менять настройки конфиденциальности и так далее. При этом у Dashlane более 3 млн клиентов. Сейчас компании совместно решают проблему, а пока диспетчер вернули в магазин Chrome.

С марта Google перестанет принимать новые приложения Chrome Apps. Однако расширения Chrome для браузера продолжат работать.

См. также: «Браузер Chrome будет автоматически блокировать назойливую видеорекламу

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (11):

  1. MooNDeaR
    /#21276040 / +1

    Может я проглядел где-то ссылку, но есть ли список этих расширений и что они делают? А то как-то без этого списка новость теряет вообще какой-либо смысл.

    • iClo
      /#21276184

      Да, хотя бы небольшой список популярных расширений. Сейчас же новость выглядит так "В хром помойкесторе найдено 500 неиспользуемых расширений с вредоносным кодом"

    • Mur81
      /#21276468

      Вы лучше держите в уме, что любое расширение потенциально так делает. Так будет правильнее.

      • balamutang
        /#21277138

        Любое приложение в любом сторе. Причем если оно даже сейчас безопасное это не значит что оно останется безопасным после следующего обновления

        • nochkin
          /#21278120

          Даже не обязательно после обновления. Оно может это делать не сразу после установки, а спустя какое-то время.

      • MooNDeaR
        /#21277792

        Образование в сфере ИБ и некоторый опыт работы в этой же сфере сделали меня и так излишне параноидальным :) Иногда хочется забить на всё и жить спокойно, но я постоянно подмечаю дырищи и тотальное раздолбайство абсолютно всех людей в нашей стране по части ИБ. Хотя на самом деле это общемировая проблема.

    • Ilyasyakubov
      /#21277920

      С точки зрения ИБ лучше вообще не ставить никакие расширения. У меня, например, только расширение от менеджера паролей установлено. И то, только потому что я и так доверил им свои пароли.

  2. nochkin
    /#21278134

    Часто получаю email'ы, где предлагают у меня выкупить моё расширения для Chrome или встроить туда некий API, который «будет зарабатывать деньги».
    Предполагаю, что многие из этих 500 как раз такие, которые пошли на это.

    • freeExec
      /#21300310

      Много предлагают за это?

      • nochkin
        /#21300332 / +1

        Не много. Мне предлагали примерно $300-$500 если выкупать. А если я поставлю их API, то там за клики или скачивание обещали какие-то копейки.

        • freeExec
          /#21300420

          Ну, да, выглядит как-то не серьёзно.