21 Апреля 2025 09:52 21 Апр 2025 09:52 |

Поделиться

За пользователями Google Chrome шпионят десятки расширений, скачанных миллионы раз

Потянуть за ниточку

Целая плеяда расширений к браузеру Chrome с общей пользовательской аудиторией около 6 млн человек, «демонстрируют небезопасное поведение», утверждает исследователь компании Secure Annex Джон Такнер (John Tuckner).

В общей сложности он насчитал 57 скрытных расширений, которые ведут за своими пользователями слежку.

Скрытые расширения для Chrome — программные модули, которые не могут быть обнаружены через поисковую систему интернет-магазина Chrome или посредством других поисковых сервисов. Их установка возможна исключительно при наличии прямой ссылки на расширение.

Все началось с того, что Такнер взялся исследовать сомнительное, с его точки зрения, расширение Fire Shield Extension Protection.

Под слоями обфускации обнаружились вызовы к API, предназначенные для отправки вовне данных, собранных из браузера.

Вытянуть большого слона...

Эти данные выводились на домен с названием unknow.com. На нем же располагались и другие расширения, которые, согласно их описанию, обеспечивали блокировку браузерной рекламы или защищали конфиденциальность личных данных пользователя.

Однако для них всех требовались избыточные разрешения, которые позволяли бы им получать доступ к файлам cookie, в т.ч. значимым заголовкам (например, Authorization), мониторить действия пользователя в браузере, менять установленный по умолчанию поисковик (и результаты запросов к нему), а также внедрять и запускать сторонние скрипты в iframes посещаемых страниц и удаленно задействовать углубленный трекинг.

Такнеру не удалось подтвердить, что все эти расширения действительно крадут пароли или файлы cookie, но сам факт, что в их коде присутствует скрытая логика, обфускация и представляющие потенциальный риск функции заставляет заподозрить неладное.

Ровно поэтому Такнер присвоил 35 расширениям с unknow.com статус подозрительных и потенциально шпионских. А позднее добавил к ним еще 22, которые, по его мнению, относятся к той же операции.

Все эти расширения были обозначены как скрытые: поиск в Chrome Web Store их не обнаруживал, сторонние поисковики - не индексировали, и единственным способом их получить было скачивание по прямой ссылке.

Скрытыми нередко оказываются расширения, представляющие собой корпоративные инструменты, не предназначенные для использования вне рабочей инфраструктуры, или же тестовые версии расширений, которые только готовятся к публикации.

Но нельзя исключать и сценария, при котором прямые ссылки на скачивание распространяются злоумышленниками через вредоносные сайты и рекламные баннеры.

Судя по огромному количеству предполагаемых пользователей (или жертв) расширений, выявленных Такнером, они как раз по «неофициальным каналам» в основном и распространялись. Впрочем, небольшая их часть была опубликована в Chrome Web Store и находилась в общем доступе. Самым популярным из них стало Cuponomia – Coupon and Cashback, расширение, установленное 700 тыс. раз.

На втором месте - то самое подозрительное расширение Fire Shield Extension Protection с тремя сотнями тысяч пользователей (причем оно не является публичным).

Пользователям, обнаружившим какое-либо из них у себя в браузере, настоятельно рекомендуется деинсталлировать их и заменить все пароли.

«Названия расширений действительно выглядят как приманки, которыми пользуются мошенники из мнимых «служб поддержки»», - отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. «Большинство представляется инструментами для безопасного поиска и защиты данных, хотя эти функции в основном реализованы в самом браузере Chrome и необходимости устанавливать что-то сверх того нет. Наличие обфускации кода крайне подозрительно само по себе: зачем разработчикам легитимного расширения могло понадобиться «замусоривать» свой код, совершенно непонятно».

В Google заявили, что знают о публикации Такнера и расследуют вероятную угрозу. Часть расширений уже удалена.

Роман Георгиев

Поделиться

Короткая ссылка