Фахівець з кібербезпеки під псевдонімом «Q Continuum» ідентифікував 287 розширень для браузера Google Chrome, які таємно збирають історію переглядів користувачів і передають її різним компаніям. У дослідницькому звіті зазначено, що до поширення таких розширень причетні великі гравці, включно з Similarweb, Curly Doggo, Offidocs, низкою китайських компаній, маловідомими дата-брокерами та загадковою компанією Big Star Labs, яка, ймовірно, є дочірньою структурою Similarweb.
Про це розповідає ProIT
Розширення з мільйонами користувачів та ризики для безпеки
Для виявлення ризикованих розширень дослідник створив автоматизований конвеєр: екземпляри Chrome з встановленими розширеннями відвідували зафіксований перелік сайтів, а всі вихідні з’єднання фіксувалися й аналізувалися. За його словами, подібний збір даних може призвести до корпоративного шпигунства, оскільки розкриває внутрішні корпоративні URL-адреси. Збір файлів cookie деякими розширеннями також загрожує компрометацією облікових даних користувачів, відкриваючи шлях до крадіжки даних активних веб-сеансів.
Які розширення несуть загрозу
Серед шкідливих розширень виявлено популярні VPN, інструменти для підвищення продуктивності, а також розширення для пошуку купонів, роботи з PDF та інші утиліти. Деякі фішингові надбудови мають сотні тисяч або навіть мільйони користувачів. До таких належать Stylish, BlockSite, Stay Focused, SimilarWeb, Website Traffic, SEO Checker, WOT: Website Security, Safety Checker, Smarty, Video Ad Blocker Plus для YouTube, Knowee AI та CrxMouse: Mouse Gestures.
Дослідник підкреслив, що багато розширень запитують широкі крос-доменні дозволи, які дозволяють їм відстежувати події навігації на різних сайтах. Він пояснив логіку маркування підозрілих надбудов у звіті наступним чином:
«Якщо вихідний трафік зростає лінійно з довжиною URL, дуже ймовірно, що розширення відправляє сам URL (або весь HTTP-запит) на віддалений сервер», — додає експерт.
Дослідження виявило, що частина розширень використовувала шифрування для приховування типу переданих даних. Вони застосовували різноманітні методи обфускації, зокрема кодування Base64, ROT47, стиснення LZ-String та повне шифрування за допомогою AES-256 у пакеті з RSA-OAEP. Дослідник додав, що розшифровка перехоплених даних дозволила ідентифікувати передачу пошукових запитів Google, рефералів сторінок, ідентифікаторів користувачів і часових міток на пропрієтарні сервери та кінцеві точки хмарних провайдерів.
Тестування проводилося ізольовано: Chrome розгортали у контейнері Docker, що забезпечувало безпечне й послідовне вивчення кожного розширення.
При цьому експерт з безпеки підкреслив, що не всі розширення, котрі мають доступ до історії браузера, є шкідливими — деяким із них цей доступ справді потрібен для роботи, наприклад, для функцій Avast Online Security & Privacy. Дослідник також зазначив, що частину помилкових спрацьовувань довелося вручну видаляти з результатів автоматичних сканерів.
У додатку до звіту наведено перелік URL-адрес розширень у Chrome Web Store та інформацію про компанії, відповідальні за їх розповсюдження.