De fyre, der har ansvaret webbrowserudvikling Chrome har arbejdet med at opretholde et "sundt" miljø i browsertilføjelsesbutikken og siden integrationen af den nye Google Manifest V3, forskellige sikkerhedsændringer er blevet implementeret og især kontroverserne genereret af blokeringen af API'er, der bruges af mange tilføjelsesprogrammer til at blokere reklame.
Alt dette arbejde er opsummeret i forskellige resultater, af hvilken blokeringen af et antal ondsindede tilføjelser blev afsløret der blev fundet i Chrome Store.
I den første fase, den uafhængige efterforsker Jamila Kaya og firmaet Duo Security identificerede en række Chomre-udvidelser, der oprindeligt fungerer på en "legitim" måde, men i en dybere analyse af koden for disse blev der opdaget operationer, der kørte i baggrunden, hvoraf mange af dem ekstraherede brugerdata.
Cisco Duo Security udgav CRXcavator, vores automatiserede Chrome-udvidelsessikkerhedsvurderingsværktøj, gratis sidste år for at reducere risikoen for, at Chrome-udvidelser vil præsentere for organisationer og give andre mulighed for at udvikle vores forskning for at skabe et økosystem, Chrome-udvidelser, der er sikrere for alle.
Efter at have rapporteret problemet til Google, mere end 430 tilføjelser blev fundet i kataloget, hvis antal installationer ikke blev rapporteret.
Det er bemærkelsesværdigt, at trods det imponerende antal faciliteter, ingen af de problematiske plugins har brugeranmeldelser, der fører til spørgsmål om, hvordan plugins blev installeret, og hvordan den ondsindede aktivitet blev ubemærket.
Nu, fjernes alle de problematiske plugins fra Chrome Webshop. Ifølge forskerne har ondsindet aktivitet relateret til blokerede plugins foregået siden januar 2019, men de enkelte domæner, der blev brugt til at udføre ondsindede handlinger, blev registreret i 2017.
Jamila Kaya brugte CRXcavator til at afdække en storstilet kampagne med copycat Chrome-udvidelser, der inficerede brugere og ekstraherede data gennem malvertising, mens de forsøgte at undgå Google Chrome-afsløring af svindel. Duo, Jamila og Google arbejdede sammen for at sikre, at disse udvidelser og andre lignende blev fundet og fjernet med det samme.
De fleste af ondsindede tilføjelser blev præsenteret som værktøjer til at promovere produkter og deltage i reklametjenester (brugeren ser annoncer og modtager fradrag). Også teknikken til omdirigering til annoncerede websteder blev brugt ved åbning af sider, der blev vist i en streng, før de viste det ønskede websted.
Alle plugins brugte den samme teknik til at skjule ondsindet aktivitet og omgå plugin-verifikationsmekanismerne i Chrome Webshop.
Koden for alle plugins var næsten identisk på kildeniveau med undtagelse af de funktionsnavne, der var unikke for hvert plugin. Den ondsindede logik blev transmitteret fra centraliserede styringsservere.
I første omgang, pluginet tilsluttet et domæne, der har samme navn som plugin-navnet (for eksempel Mapstrek.com), hvorefter Det blev omdirigeret til en af styringsserverne, der leverede scriptet til yderligere handlinger.
Blandt de udførte aktioner gennem plugins finde download af fortrolige brugerdata til en ekstern server, videresendelse til ondsindede websteder og godkendelse af installationen af ondsindede applikationer (For eksempel vises en meddelelse om computerinfektion, og malware tilbydes under dække af et antivirus eller en browseropdatering).
De omdirigerede domæner inkluderer forskellige phishing-domæner og websteder til at udnytte forældede browsere der indeholder ukorrigerede sårbarheder (for eksempel efter udnyttelse blev der gjort forsøg på at installere ondsindede programmer, der opfanger adgangskoder og analyserer overførsel af fortrolige data via udklipsholderen).
Hvis du vil vide mere om noten, kan du se den originale publikation I det følgende link.