Специалист в области кибербезопасности под псевдонимом «Q Continuum» идентифицировал 287 расширений для браузера Google Chrome, которые тайно собирают историю просмотров пользователей и передают ее различным компаниям. В исследовательском отчете отмечается, что к распространению таких расширений причастны крупные игроки, включая Similarweb, Curly Doggo, Offidocs, ряд китайских компаний, малоизвестных дата-брокеров и загадочную компанию Big Star Labs, которая, вероятно, является дочерней структурой Similarweb.
Об этом сообщает ProIT
Расширения с миллионами пользователей и риски для безопасности
Для выявления рискованных расширений исследователь создал автоматизированный конвейер: экземпляры Chrome с установленными расширениями посещали зафиксированный список сайтов, а все исходящие соединения фиксировались и анализировались. По его словам, подобный сбор данных может привести к корпоративному шпионажу, так как раскрывает внутренние корпоративные URL-адреса. Сбор файлов cookie некоторыми расширениями также угрожает компрометацией учетных данных пользователей, открывая путь к краже данных активных веб-сессий.
Какие расширения представляют угрозу
Среди вредоносных расширений обнаружены популярные VPN, инструменты для повышения производительности, а также расширения для поиска купонов, работы с PDF и другие утилиты. Некоторые фишинговые надстройки имеют сотни тысяч или даже миллионы пользователей. К таким относятся Stylish, BlockSite, Stay Focused, SimilarWeb, Website Traffic, SEO Checker, WOT: Website Security, Safety Checker, Smarty, Video Ad Blocker Plus для YouTube, Knowee AI и CrxMouse: Mouse Gestures.
Исследователь подчеркнул, что многие расширения запрашивают широкие кросс-доменные разрешения, которые позволяют им отслеживать события навигации на различных сайтах. Он объяснил логику маркировки подозрительных надстроек в отчете следующим образом:
«Если исходный трафик растет линейно с длиной URL, очень вероятно, что расширение отправляет сам URL (или весь HTTP-запрос) на удаленный сервер», — добавляет эксперт.
Исследование выявило, что часть расширений использовала шифрование для сокрытия типа передаваемых данных. Они применяли различные методы обфускации, включая кодирование Base64, ROT47, сжатие LZ-String и полное шифрование с помощью AES-256 в пакете с RSA-OAEP. Исследователь добавил, что расшифровка перехваченных данных позволила идентифицировать передачу поисковых запросов Google, рефералов страниц, идентификаторов пользователей и временных меток на проприетарные серверы и конечные точки облачных провайдеров.
Тестирование проводилось изолированно: Chrome разворачивали в контейнере Docker, что обеспечивало безопасное и последовательное изучение каждого расширения.
При этом эксперт по безопасности подчеркнул, что не все расширения, которые имеют доступ к истории браузера, являются вредоносными — некоторым из них этот доступ действительно нужен для работы, например, для функций Avast Online Security & Privacy. Исследователь также отметил, что часть ложных срабатываний пришлось вручную удалять из результатов автоматических сканеров.
В приложении к отчету приведен список URL-адресов расширений в Chrome Web Store и информация о компаниях, ответственных за их распространение.