Kluci, kteří to mají na starosti vývoj webového prohlížeče Chrome pracuje na udržování „zdravého“ prostředí v obchodě doplňků prohlížeče a od integrace nového Manifestu V3 společnosti Google, byly implementovány různé bezpečnostní změny a především kontroverze vyvolané blokováním API, které používá mnoho doplňků k blokování reklamy.
Celá tato práce byla shrnuta do různých výsledků, z toho bylo odhaleno blokování řady škodlivých doplňků které byly nalezeny v Chrome Store.
V první fázi nezávislý vyšetřovatel Jamila Kaya a společnost Duo Security identifikovali řadu rozšíření Chomre, která původně fungovala „legitimně“, ale při hlubší analýze jejich kódu byly zjištěny operace, které běžely na pozadí, z nichž mnozí extrahovali uživatelská data.
Společnost Cisco Duo Security v loňském roce zdarma vydala CRXcavator, náš automatizovaný nástroj pro hodnocení zabezpečení rozšíření Chrome, aby se snížilo riziko, které rozšíření Chrome budou představovat organizacím, a umožnit ostatním rozvíjet náš výzkum, aby vytvořili ekosystém. Rozšíření Chrome bezpečnější pro všechny.
Po nahlášení problému Googlu v katalogu bylo nalezeno více než 430 doplňků, jehož počet zařízení nebyl nahlášen.
Je pozoruhodné, že i přes působivý počet zařízení, žádný z problematických pluginů nemá uživatelské recenze, což vedlo k otázkám, jak byly nainstalovány doplňky a jak byla škodlivá aktivita nezjištěna.
Nyní, všechny problematické pluginy jsou odstraněny z Internetového obchodu Chrome. Podle výzkumníků probíhá škodlivá aktivita související s blokovanými pluginy od ledna 2019, ale jednotlivé domény, které byly použity k provádění škodlivých akcí, byly zaznamenány v roce 2017.
Jamila Kaya použila CRXcavator k odhalení rozsáhlé kampaně kopírovacích rozšíření pro Chrome, která infikovala uživatele a extrahovala data prostřednictvím malvertisingu, zatímco se snažila vyhnout se detekci podvodů v Google Chrome. Společnosti Duo, Jamila a Google společně zajistily, že tato rozšíření a další jim podobná budou okamžitě nalezena a odstraněna.
Většina z škodlivé doplňky byly prezentovány jako nástroje k propagaci produktů a podílet se na reklamních službách (uživatel vidí reklamy a dostává odpočty). Také byla použita technika přesměrování na inzerované weby otevřením stránek, které byly zobrazeny v řetězci před zobrazením požadovaného webu.
Všechny doplňky používali stejnou techniku ke skrytí škodlivé aktivity a obejít mechanismy ověření doplňků v Internetovém obchodě Chrome.
Kód pro všechny pluginy byl téměř totožný na úrovni zdroje, s výjimkou názvů funkcí, které byly pro každý plugin jedinečné. Škodlivá logika byla přenesena ze serverů centralizované správy.
Zpočátku plugin připojený k doméně, která má stejný název jako název pluginu (například Mapstrek.com), poté Byl přesměrován na jeden ze serverů pro správu, který poskytoval skript pro další akce.
Mezi provedenými akcemi prostřednictvím pluginů vyhledejte stažení důvěrných uživatelských údajů na externí server, přeposílání na škodlivé weby a schvalování instalace škodlivých aplikací (Například se zobrazí zpráva o počítačové infekci a malware se nabízí pod záminkou antiviru nebo aktualizace prohlížeče).
Přesměrované domény zahrnují různé phishingové domény a weby, které využívají zastaralé prohlížeče které obsahují neopravené chyby zabezpečení (například poté, co došlo k pokusům o zneužití k instalaci škodlivých programů, které zachycují hesla a analyzují přenos důvěrných dat prostřednictvím schránky).
Pokud se chcete o poznámce dozvědět více, můžete se podívat do původní publikace Na následujícím odkazu.