Во многих сценариях использования расширения для браузеров действительно очень полезны: они добавляют расширенную функциональность, повышают продуктивность работы или выполняют другие задачи. Хотя большинство браузерных расширений являются безопасными, на общедоступных площадках всегда есть риск столкнуться с недобросовестными плагинами.
В отчете DataSpii сообщается об утечках пользовательских данных в восьми популярных браузерных расширениях, установленных на миллионах компьютеров.
Среди недобросовестных расширений оказались Hover Zoom, SuperZoom, SaveFrom.net Помощник, FairShare Unlock и PanelMeasurement.
В то время как некоторые расширения начинали собирать данные сразу после установки, другие использовали более сложную и скрытную схему. Исследователи обнаружили, что инициализация сбора данных активности происходила в среднем спустя 24 дня после установки расширения.
Данная задержка затрудняла обнаружение факта сбора данных. Обычные пользователи не могли заподозрить ничего необычного, и даже исследователи Google и Mozilla не идентифицировали сомнительный код или следы сбора данных после установки.
Исследователи обнаружили, что расширения, спустя некоторое время после установки, загружают с серверов дополнительные модули JavaScript, которые включают код сбора данных. Разработчики расширений пытались как можно тщательнее замаскировать этот код, используя шифрование base64 и сжатие данных.
Что-то неладное было обнаружено при анализе приватных ссылок, опубликованных компаний Nacho Analytics. Оказалось, что данная маркетинговая компания владела информацией о внутренних ссылках таких корпораций, как Apple, Tesla и Symantec.
По идее данные приватные ссылки не могут быть доступны сторонним организациям. После глубокого изучения вопроса, оказалось, что наиболее вероятным источником утечки могли быть браузерные расширения.
Большинство расширений доступны для Google Chrome и только два – для Firefox. Кроме того, было установлено, что расширения для Firefox собирали данные только при установке со сторонних сайтов, а не с официального магазина (Add-ons for Firefox).
На данный момент все восемь расширений были удалены из Интернет-магазина Chrome. При попытке открыть страницу расширений, возникает ошибка 404.
Защититься невозможно
Не существует эффективной защиты от данного поведения, за исключением полного отказа от установки расширений в браузер. Даже надежные расширения в один миг могут стать мошенническими, например, когда они продаются другой компании.
Хорошая практика заключается в проверке расширений для Chrome перед их установкой. Однако, данная мера окажется безрезультатной в случае с расширениями, которые откладывают сбор данных на несколько недель.
Вредоносные расширения обнаруживаются либо случайно, либо в процессе специальных аудитов безопасности. В 2018 году Mozilla заблокировала 23 расширения, отслеживающих пользовательскую активность, а в 2019 году эта борьба продолжилась. Google удалили четыре вредоносных расширения, фигурирующих в отчете исследователей и на протяжении многих лет удаляет многие другие плагины.
Разработчики браузеров должны обеспечить защиту от такого поведения, поскольку это единственный способ справиться с угрозой раз и навсегда. Возможно, стоит улучшить регистрацию активности расширений, чтобы упростить обнаружение загрузки дополнительных модулей.
Сколько расширений вы используете в браузере? Вы доверяете этим расширениям?
Угрозы безопасности
• Уязвимость WinRAR позволяет обходить предупреждения безопасности Mark of the Web в Windows
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?