500 расширений Chrome собирали личные данные пользователей в рекламных целях

image

Эксперты Duo Security обнаружили обнаружили в Chrome Web Store более 500 потенциально вредоносных расширений для Google Chrome. Они загружали историю просмотров веб-страниц незаметно для пользователей на сторонние серверы.

Изначально эксперты по кибербезопасности при помощи инструмента CRXcavator выявили 70 таких расширений с общим числом установок более 1,7 млн раз. Информацию передали в Google и уже при совместной работе нашли и удалили еще 430 вредоносных расширений.

Расширения отслеживали историю просмотров пользователей, а затем загружали ее на серверы злоумышленников. В итоге информация использовалась в рекламных целях.

Практически у всех 500 плагинов был практически идентичный исходный код, и все они перенаправляли пользователей на сайты рекламодателей, причем, известных сетей и брендов Macy’s, Dell и Best Buy. Однако в некоторых случаях происходило перенаправление на вредоносные и фишинговые сайты. Некоторые вредоносные расширения были с непосредственно связаны с программами Mapstrek и ПО Arcadeyum.

image
imageФото: duo.com

Пример команд, которые хост получает от сайтов, извлеченных из памяти на затронутом хосте.

imageФото: duo.com

Основная вредоносная активность и мошенничество с рекламой происходят через потоки перенаправления. Хост-сайты, принадлежащие субъекту, названы одинаково и почти все размещены в AWS. Части архитектуры для поддержки этой сети плагинов была создана в один и тот же день или месяц с новыми компонентами, такими как домены перенаправителя, выпущенными порциями. Домены перенаправителя создавались в разное время.

Google начала меры по борьбе с вредоносными расширениями для Chrome после обнаружения надстроек, нарушающих политику производителей браузеров. Компания заявила, что «обнаружила значительное увеличение количества мошеннических транзакций, связанных с платными расширениями Chrome, целью которых является использование пользователей». В Google предупредили, что для удаления навязчивых и злонамеренных расширений они вводят более строгие правила: «Разрешения вашего расширения должны быть как можно более узкими, а весь ваш код должен быть включен непосредственно в пакет расширения, чтобы минимизировать время проверки».

На днях Google решила удалить из интернет-магазина Chrome расширение диспетчера паролей Dashlane из-за проблем с «конфиденциальностью пользовательских данных и использованием разрешений». Расширения диспетчера позволяют управлять своими приложениями, темами, менять настройки конфиденциальности и так далее. При этом у Dashlane более 3 млн клиентов. Сейчас компании совместно решают проблему, а пока диспетчер вернули в магазин Chrome.

С марта Chrome Web Store перестанет принимать новые приложения Chrome. Однако расширения Chrome для браузера продолжат работать.

См. также: «Браузер Chrome будет автоматически блокировать назойливую видеорекламу

© Habrahabr.ru