A srácok, akik a felelősek webböngésző fejlesztése A Chrome az "egészséges" környezet megőrzésén dolgozik a böngésző kiegészítő boltban és az új Google Manifest V3 integrálása óta, különféle biztonsági változásokat hajtottak végre és különösen a sok kiegészítő által a reklám blokkolására használt API-k blokkolásával generált viták.
Mindezt a munkát különböző eredményekben foglaltuk össze, amelyből számos rosszindulatú kiegészítő blokkolását hozták nyilvánosságra amelyeket a Chrome Store-ban találtak.
Az első szakaszban a független nyomozó Jamila Kaya és a Duo Security cég különféle Chomre kiterjesztéseket azonosított, amelyek kezdetben "törvényes" módon működnek, de ezek kódjának mélyebb elemzése során a háttérben futó műveleteket észlelték, amelyek közül sokan kivonták a felhasználói adatokat.
A Cisco Duo Security tavaly ingyen adta ki a CRXcavator nevű automatizált Chrome kiterjesztés biztonsági felmérő eszközünket, hogy csökkentse annak kockázatát, amelyet a Chrome kiterjesztések jelentenek a szervezetek számára, és lehetővé teszi másoknak, hogy fejlesszék kutatásunkat egy ökoszisztéma létrehozása érdekében.
Miután bejelentette a problémát a Google-nak, több mint 430 kiegészítő található a katalógusban, amelynek telepítéseinek számát nem jelentették.
Figyelemre méltó, hogy a lenyűgöző számú létesítmény ellenére a problémás bővítmények egyike sem rendelkezik felhasználói véleményekkel, ami felveti a pluginok telepítésének módját és a rosszindulatú tevékenység észrevétlenségét.
Most, az összes problémás bővítmény eltávolításra kerül a Chrome Internetes áruházból. A kutatók szerint a blokkolt bővítményekkel kapcsolatos rosszindulatú tevékenység 2019 januárja óta tart, de a rosszindulatú műveletek végrehajtására használt egyes domaineket 2017-ben rögzítették.
Jamila Kaya a CRXcavator segítségével felfedte a Chrome másolatok kiterjesztésének nagyszabású kampányát, amely a felhasználókat megfertőzte és az adatokat bántalmazás útján vonta ki, miközben megpróbálta elkerülni a Google Chrome csalások észlelését. A Duo, Jamila és a Google együtt dolgoztak annak biztosításában, hogy ezeket a bővítményeket és a hozzájuk hasonlóakat azonnal megtalálják és eltávolítsák.
A legtöbb rosszindulatú kiegészítőket mutattak be a termékek promóciójának eszközeként és részt vesznek hirdetési szolgáltatásokban (a felhasználó látja a hirdetéseket és levonásokat kap). Ezenkívül a meghirdetett webhelyekre történő átirányítás technikáját alkalmazták, amikor olyan oldalakat nyitottak meg, amelyek stringben jelennek meg a kért webhely megjelenítése előtt.
Minden beépülő modul ugyanazt a technikát használta a rosszindulatú tevékenységek elrejtésére és megkerülje a plug-in ellenőrzési mechanizmusokat a Chrome Internetes áruházban.
Az összes bővítmény kódja közel azonos volt a forrás szintjén, kivéve az egyes bővítmények egyedi funkcióneveit. A rosszindulatú logikát központosított felügyeleti szerverekről továbbították.
kezdetben a plugin egy olyan tartományhoz csatlakozik, amelynek neve megegyezik a plugin nevével (például Mapstrek.com), utána Átirányították az egyik felügyeleti kiszolgálóra, amely a szkriptet biztosította a további műveletekhez.
Az elvégzett akciók között beépülő modulokon keresztül megtalálja a bizalmas felhasználói adatok letöltését egy külső szerverre, továbbítás rosszindulatú webhelyekre és a rosszindulatú alkalmazások telepítésének jóváhagyása (Például üzenet jelenik meg a számítógépes fertőzésről, és kártékony programokat kínálnak antivírus vagy böngészőfrissítés leple alatt).
Az átirányított domainek különféle adathalász domaineket és webhelyeket tartalmaznak az elavult böngészők kihasználására amelyek nem javított sebezhetőségeket tartalmaznak (például azt követően, hogy kihasználási kísérleteket tettek rosszindulatú programok telepítésére, amelyek elfogják a jelszavakat és elemzik a bizalmas adatok vágólapon keresztüli továbbítását).
Ha többet szeretne megtudni a jegyzetről, tekintse meg az eredeti kiadványt A következő linken.