У Google Chrome виявили 287 розширень, що крадуть історію браузера
Час читання: 2 хв.
Фахівець з безпеки під псевдонімом «Q Continuum» виявив 287 розширень для Chrome, які крадуть історію браузера. «За витоками стоять різні гравці: Similarweb, Curly Doggo, Offidocs, китайські компанії, безліч дрібних невідомих дата-брокерів, а також загадкова фірма Big Star Labs, яка, схоже, є дочірньою компанією Similarweb», — йдеться в дослідницькому звіті.
Для аналізу дослідник розробив автоматизований конвеєр, який запускав екземпляри Chrome, встановлював розширення, відвідував заздалегідь визначений набір веб-сайтів і фіксував вихідні з’єднання.
Він попередив, що збір таких даних може призвести до корпоративного шпигунства, розкриваючи внутрішні корпоративні URL-адреси, до яких звертаються співробітники. У випадках, коли розширення також збирають файли cookie, вони можуть полегшити крадіжку облікових даних, надаючи зловмисникам детальну інформацію про активні веб-сеанси.
VPN, інструменти для підвищення продуктивності та надбудови для покупок
Дослідження виявило безліч популярних розширень з ризикованою поведінкою в таких категоріях, як VPN/проксі-сервіси, пошук купонів, PDF-інструменти та утиліти для браузера. Багато з них мають сотні тисяч або мільйони користувачів.
Серед цих розширень — блокувальники спливаючих вікон для Chrome: Stylish, BlockSite, Stay Focused і SimilarWeb. Також були згадані: Website Traffic і SEO Checker, WOT: Website Security і Safety Checker, Smarty, Video Ad Blocker Plus для YouTube, Knowee AI і CrxMouse: Mouse Gestures.
За словами дослідника, кілька розширень запитували широкі дозволи на хост (крос-сайтові), що дозволяло їм відстежувати події навігації та дії сторінок у різних доменах. «Якщо розширення просто читає заголовок сторінки або вставляє CSS, його мережевий слід повинен залишатися однаковим незалежно від довжини відвіданого нами URL», — пояснює він логіку маркування у своєму звіті.
«Якщо вихідний трафік зростає лінійно з довжиною URL, дуже ймовірно, що розширення відправляє сам URL (або весь HTTP-запит) на віддалений сервер», — додає експерт.
Зашифрована ексфільтрація ускладнила виявлення
Крім того, він вказує, що кілька з цих розширень намагалися приховати тип переданих даних. Вихідні корисні дані часто шифрувалися або кодувалися перед передачею, що перешкоджало автоматизованій перевірці.
«Ручна перевірка перехопленого трафіку виявила безліч методів обфускації: Base64, ROT47, стиснення LZ-String і повне шифрування AES-256, упаковане в RSA-OAEP», — пояснює дослідник в іншому звіті. «Розшифровка цих корисних даних показала, що необроблені URL-адреси пошуку Google, реферали сторінок, ідентифікатори користувачів і тимчасові мітки відправлялися в мережу пропрієтарних доменів і кінцевих точок хмарних провайдерів.
Тестове середовище дослідника запускало Chrome в контейнері Docker, що дозволяло ізольовано і послідовно аналізувати кожне розширення.
Однак фахівець з безпеки визнав, що, ймовірно, не всі розширення, що розкривають історію браузера, мають зловмисні наміри. Він також уточнив, що деякі помилкові спрацьовування довелося вручну видаляти з журналів розширень, відзначених автоматичними сканерами. «Деякі розширення можуть бути нешкідливими і їм необхідно збирати історію браузера для таких функцій, як, наприклад, Avast Online Security & Privacy».
Звіт про виявлення містив список URL-адрес з Chrome Web Store та інформацію про гравців, що стоять за цими розширеннями, в якості довідкового матеріалу. (jm)
Запис У Google Chrome виявили 287 розширень, що крадуть історію браузера спершу з’явиться на iTechua – Новини про смартфони, гаджети і різні девайси.
