Momci koji su glavni razvoj web pretraživača Chrome radi na održavanju "zdravog" okruženja u okviru prodavnice dodataka za preglednik i od integracije Googleovog novog Manifest V3, provedene su razne sigurnosne promjene a posebno kontroverze generirane blokiranjem API-ja koje mnogi dodaci koriste za blokiranje oglašavanja.
Sav ovaj rad sažet je u različite rezultate, od kojeg otkriveno je blokiranje niza zlonamernih dodataka koji su pronađeni u Chrome trgovini.
U prvoj fazi, nezavisni istražitelj Jamila Kaya i kompanija Duo Security identificirali su mnoštvo Chomre ekstenzija koje u početku rade "legitimno", ali u dubljoj analizi njihovog koda otkrivene su operacije koje su se izvodile u pozadini, od kojih su mnogi izdvojili korisničke podatke.
Cisco Duo Security je prošle godine besplatno pustio CRXcavator, naš automatizirani alat za procjenu sigurnosti proširenja za Chrome, da bi smanjio rizik koji će Chrome proširenja predstaviti organizacijama i omogućiti drugima da razviju naša istraživanja kako bi stvorili proširenja za Chrome koji su sigurniji za sve.
Nakon što ste problem prijavili Googleu, u katalogu je pronađeno više od 430 dodataka, čiji broj instalacija nije prijavljen.
Značajno je da uprkos impresivnom broju objekata, nijedan od problematičnih dodataka nema recenzije korisnika, što dovodi do pitanja o tome kako su dodaci instalirani i kako zlonamjerna aktivnost nije otkrivena.
Trenutno, svi problematični dodaci uklanjaju se iz Chrome web trgovine. Prema istraživačima, zlonamjerne aktivnosti povezane sa blokiranim dodacima traju od januara 2019. godine, ali su pojedinačne domene koje su korištene za izvođenje zlonamernih radnji zabilježene 2017. godine.
Jamila Kaya koristila je CRXcavator da bi otkrila veliku kampanju copycat Chrome ekstenzija koje su zarazile korisnike i izvukle podatke malverziranjem, pokušavajući izbjeći otkrivanje Google Chrome prijevara. Duo, Jamila i Google radili su zajedno kako bi osigurali da su ova proširenja i njima slična njima odmah pronađena i uklonjena.
Većina zlonamerni dodaci predstavljeni su kao alati za promociju proizvoda i sudjeluju u uslugama oglašavanja (korisnik vidi oglase i prima odbitke). Također, korištena je tehnika preusmjeravanja na oglašavane web stranice otvaranjem stranica koje su bile prikazane u nizu prije prikazivanja tražene web stranice.
Svi dodaci koristili su istu tehniku da sakriju zlonamjerne aktivnosti i zaobići mehanizme provjere dodataka u Chrome web trgovini.
Kôd svih dodataka bio je gotovo identičan na izvornoj razini, s izuzetkom imena funkcija koja su bila jedinstvena za svaki dodatak. Zlonamjerna logika prenošena je s centraliziranih upravljačkih servera.
U početku, dodatak povezan s domenom koja ima isto ime kao i dodatak (na primjer Mapstrek.com), nakon čega Preusmjeren je na jedan od poslužitelja za upravljanje koji je pružao skriptu za dodatne radnje.
Među izvršenim akcijama putem dodataka pronaći preuzimanje povjerljivih korisničkih podataka na vanjski server, prosljeđivanje na zlonamjerne web lokacije i odobravanje instalacije zlonamjernih aplikacija (Na primjer, prikazuje se poruka o računarskoj infekciji i nudi se zlonamerni softver pod maskom antivirusa ili ažuriranja pregledača).
Preusmjereni domeni uključuju razne phishing domene i web lokacije za iskorištavanje zastarjelih preglednika koji sadrže neispravljene ranjivosti (na primjer, nakon pokušaja eksploatacije da se instaliraju zlonamjerni programi koji presreću lozinke i analiziraju prijenos povjerljivih podataka putem međuspremnika).
Ako želite znati više o bilješci, možete pogledati originalnu publikaciju Na sledećem linku.