Google внезапно удалил более 500 расширений Chrome из своего интернет-магазина, которые, как обнаружили исследователи, крадут данные о просмотрах и совершают мошеннические клики и прокручивают вредоносную рекламу после установки на компьютеры миллионов пользователей.
В зависимости от того, как вы на это смотрите, это либо хороший результат, потому что они больше не могут свободно заражать пользователей, либо пример того, как легко вредоносным расширениям проникать в Интернет-магазин и оставаться там годами, не замеченные Google ,
Их вообще заметили благодаря исследователю Джамиле Кайя, который использовал инструмент CRXcavator от Duo Security (также доступен на CRXcavator.io), чтобы обнаружить несколько расширений, которые казались подозрительными, в основном тематические связанные с маркетингом и рекламой.
Обнаружение хитрых расширений было только началом - ей все еще приходилось связывать их друг с другом, чтобы раскрыть повторяющиеся паттерны, которые могут выделить других киберпреступников.
Первой наградой было то, что код расширения часто выглядел как копии друг друга, несмотря на небольшие изменения в именах внутренних функций, призванных скрыть это.
Другим тревожным сходством было количество запрошенных разрешений. Достаточно, чтобы позволить им получить доступ к данным просмотра и запускать при посещении веб-сайтов с использованием HTTPS.
Работая с Duo Security, они в итоге определили 70 расширений, которые, казалось, были связаны друг с другом. Все они также связывались с аналогичными сетями командования и управления, похоже, были разработаны для обнаружения и противодействия анализу в песочнице.
Мошенничество с рекламой было самой большой проблемой - связывание доменов без уведомления пользователя, а также перенаправление пользователей на вредоносные и фишинговые домены.
Может ли быть хуже?
Многие из расширений были активны в течение почти года, с подтверждением, что некоторые были намного дольше.
Google провела собственную «дактилоскопию», основанную на исследовании, и число сомнительных расширений превысило 500.
Позже Google резюмировал:
Мы регулярно проводим проверки, чтобы найти расширения, использующие аналогичные методы, код и поведение, и удаляем эти расширения, если они нарушают наши правила.
Расширения, обнаруженные Duo Security и Kaya, были установлены в общей сложности 1,7 миллиона раз.
Интернет-магазин Google Chrome насчитывает около 190 000 расширений, что позволяет оценить 500 сомнительных расширений. Тем не менее, согласно отчету Extension Monitor в августе прошлого года, три четверти из них имеют от нуля до нескольких установок.
Возможно, само число является частью проблемы. Вредоносные расширения содержат большое количество неиспользуемого программного обеспечения, в котором можно спрятаться.
Firefox Mozilla столкнулся с той же проблемой в меньшем масштабе, поскольку недавно он запретил 197 рискованных расширений и напомнил всем, что он больше не допускает расширения, выполняющие удаленный код.
Любой, кто использует одно из уже приостановленных 500 расширений, обнаружит, что они автоматически отключены в своем браузере с предупреждениями, помечающими их как вредоносные. Однако деинсталляция должна выполняться со стороны пользователя.
Урок состоит не в том, чтобы предполагать, что расширение размещено в официальном интернет-магазине, что означает, что его можно безопасно использовать.
Лучший совет:
Установите как можно меньше расширений и, несмотря на вышесказанное, только из официальных интернет-магазинов.
Проверьте отзывы и отзывы от других, кто установил расширение.
Обратите внимание на репутацию разработчика и на то, насколько он отзывчив на вопросы и как часто они публикуют обновления версий.
Изучите запрашиваемые разрешения (в Chrome, «Настройки»> «Расширения»> «Подробности») и убедитесь, что они соответствуют функциям расширения. И если эти разрешения меняются, будьте внимательны.
Предупреждение: Вся информация представлена исключительно в образовательных целях.
