Момчетата, които отговарят разработване на уеб браузър Chrome работи върху поддържането на „здравословна“ среда в магазина за добавки на браузъра и след интеграцията на новия Manifest V3 на Google, са приложени различни промени в сигурността и преди всичко противоречията, породени от блокирането на API, използвани от много добавки за блокиране на рекламата.
Цялата тази работа е обобщена в различни резултати, от които беше разкрито блокирането на редица злонамерени добавки които бяха намерени в магазина на Chrome.
На първия етап независимият следовател Джамила Кая и компанията Duo Security идентифицираха разнообразие от разширения Chomre, които първоначално работят „законно“, но при по-задълбочен анализ на кода на тях бяха открити операции, които се изпълняваха във фонов режим, от които много от тях са извлекли потребителски данни.
Cisco Duo Security пусна безплатно CRXcavator, нашия автоматизиран инструмент за оценка на сигурността на разширенията на Chrome миналата година, за да намали риска, който разширенията за Chrome ще представят на организациите и да позволи на други да развият нашето изследване, за да създадат екосистема от разширения на Chrome, по-безопасни за всички.
След докладване на проблема на Google, в каталога са намерени повече от 430 добавки, чийто брой инсталации не е отчетен.
Прави впечатление, че въпреки впечатляващия брой съоръжения, нито един от проблемните плъгини няма потребителски отзиви, което води до въпроси за това как са инсталирани плъгините и как злонамерената дейност е останала неоткрита.
Сега, всички проблемни приставки се премахват от уеб магазина на Chrome. Според изследователите злонамерена дейност, свързана с блокирани приставки, продължава от януари 2019 г., но отделните домейни, използвани за извършване на злонамерени действия, са регистрирани през 2017 г.
Джамила Кая използва CRXcavator, за да разкрие мащабна кампания от разширения за Chrome на copycat, които заразяват потребители и извличат данни чрез злоупотреба, докато се опитва да избегне откриването на измами на Google Chrome. Duo, Jamila и Google са работили заедно, за да гарантират, че тези разширения и други като тях са намерени и премахнати незабавно.
Повечето от тях злонамерените добавки бяха представени като инструменти за популяризиране на продукти и да участват в рекламни услуги (потребителят вижда реклами и получава отчисления). Също така, техниката на пренасочване към рекламирани сайтове беше използвана чрез отваряне на страници, които бяха показани в низ преди показване на заявения сайт.
Всички плъгини използват една и съща техника, за да скрият злонамерена дейност и заобикалят механизмите за проверка на приставките в уеб магазина на Chrome.
Кодът за всички приставки е почти идентичен на ниво източник, с изключение на имената на функциите, които са уникални за всеки плъгин. Злонамерената логика се предава от централизираните сървъри за управление.
Първоначално, приставката, свързана с домейн, който има същото име като името на приставката (например Mapstrek.com), след което Той беше пренасочен към един от сървърите за управление, който предоставяше скрипта за допълнителни действия.
Сред извършените действия чрез приставки намерете изтеглянето на поверителни потребителски данни към външен сървър, препращане към злонамерени сайтове и одобряване на инсталирането на злонамерени приложения (Например показва се съобщение за компютърна инфекция и се предлага зловреден софтуер под прикритието на антивирус или актуализация на браузъра).
Пренасочените домейни включват различни фишинг домейни и сайтове за използване на остарели браузъри които съдържат некоригирани уязвимости (например, след като са направени опити за експлойт за инсталиране на злонамерени програми, които прихващат пароли и анализират прехвърлянето на поверителни данни чрез клипборда).
Ако искате да научите повече за бележката, можете да се консултирате с оригиналната публикация В следващия линк.