Набор из 59 расширений для Google Chrome, установленных в общей сложности 6 миллионами пользователей, оказался потенциально опасным: они могут отслеживать поведение при просмотре сайтов, получать доступ к cookie-для разных доменов, а также выполнять удаленные скрипты.
Эти расширения являются «скрытыми», то есть их нельзя найти через поиск в интернет-магазине Chrome или в поисковых системах — установить их можно только при наличии прямой ссылки.
Обычно такие расширения — это внутренние инструменты компаний или дополнения, находящиеся на стадии разработки. Однако злоумышленники могут использовать такую маскировку, чтобы обойти проверку Chrome и распространять расширения через рекламу и вредоносные сайты.
Опасные расширения Chrome
Об этих расширениях сообщил исследователь Джон Такнер (John Tuckner) из компании Secure Annex, начавший расследование с подозрительного расширения под названием Fire Shield Extension Protection.
Оно оказалось сильно зашифрованным (обфусцированным) и подключалось к API, через который отправляло собранную в браузере информацию.
Функции отслеживания в расширении Fire Shield
Через домен unknow.com, указанный в коде расширения, исследователь обнаружил еще несколько расширений, также использующих этот домен. Все они якобы предоставляют функции блокировки рекламы и защиты приватности.
Однако у всех них были чрезмерно широкие разрешения, включая:
- доступ к cookies, включая заголовки авторизации (Authorization)
- отслеживание истории просмотров
- изменение настроек поисковых систем
- внедрение и запуск удаленных скриптов через iframe
- удаленное включение расширенного отслеживания
Такнер не зафиксировал кражи паролей или файлов куки, но наличие опасного функционала, зашифрованного кода и скрытой логики дало повод предполагать, что это может быть шпионское ПО (spyware).
Чрезмерные разрешения, запрашиваемые расширениями
Такнер отметил:
В других функциях имеются дополнительные скрытые сигналы, указывающие на значительный потенциал управления и контроля, например, возможность составлять список самых посещаемых сайтов, открывать/закрывать вкладки, получать самые посещаемые сайты и запускать многие из вышеперечисленных возможностей по мере необходимости.
Многие из этих возможностей не были проверены, но, опять же, наличие этой возможности в 35 расширениях, которые, как утверждается, выполняют простые задачи, например защищают вас от вредоносных расширений, вызывает беспокойство.
Позже Такнер добавил к своему исследованию еще 22 расширения, доведя общее количество до 59. Некоторые из них пока находятся в интернет-магазине Chrome, хотя после его первого отчета часть уже была удалена.
Популярные расширения из списка:
- Cuponomia – Coupon and Cashback — 700,000 пользователей (публичное)
- Fire Shield Extension Protection — 300,000 пользователей (непубличное)
- Total Safety for Chrome — 300,000 пользователей (непубличное)
- Protecto for Chrome — 200,000 пользователей (непубличное)
- Browser WatchDog for Chrome — 200,000 пользователей (публичное)
- Securify for Chrome — 200,000 пользователей (непубличное)
- Browser Checkup for Chrome by Doctor — 200,000 пользователей (публичное)
- Choose Your Chrome Tools — 200,000 пользователей (непубличное)
Если вы обнаружите у себя одно из этих расширений — удалите его как можно скорее и, на всякий случай, смените пароли от ваших онлайн-аккаунтов.
Google сообщает, что компания осведомлена об отчете Такнера и проводит собственную проверку.
Угрозы безопасности
• Расширения Chrome с 6 миллионами установок содержат скрытый код отслеживания
• Apple устранила две уязвимости нулевого дня, которые использовались в атаках на iPhone
• В Chrome 136 будет устранена многолетняя проблема конфиденциальности
• Уязвимость WinRAR позволяет обходить предупреждения безопасности Mark of the Web в Windows
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту