Orang-orang yang bertanggung jawab pengembangan browser web Chrome telah bekerja untuk menjaga lingkungan yang "sehat" dalam penyimpanan pengaya peramban dan sejak integrasi Manifes V3 Google yang baru, berbagai perubahan keamanan telah diterapkan dan di atas semua kontroversi yang dihasilkan oleh pemblokiran API yang digunakan oleh banyak add-on untuk memblokir iklan.
Semua pekerjaan ini telah dirangkum dalam hasil yang berbeda, yang mana pemblokiran sejumlah add-on berbahaya telah diungkap yang ditemukan di Toko Chrome.
Pada tahap pertama, penyidik independen Jamila Kaya dan perusahaan Duo Security mengidentifikasi berbagai ekstensi Chomre yang awalnya beroperasi "secara sah", tetapi dalam analisis yang lebih dalam dari kode ini, operasi yang berjalan di latar belakang terdeteksi, yang banyak di antaranya mengekstrak data pengguna.
Cisco Duo Security merilis CRXcavator, alat penilaian keamanan ekstensi Chrome otomatis kami, gratis tahun lalu untuk mengurangi risiko ekstensi Chrome akan muncul di organisasi dan memungkinkan orang lain mengembangkan penelitian kami untuk menciptakan ekosistem ekstensi Chrome yang lebih aman bagi semua orang.
Setelah melaporkan masalah tersebut ke Google, lebih dari 430 add-on ditemukan di katalog, yang jumlah instalasinya tidak dilaporkan.
Patut dicatat bahwa meskipun dengan jumlah fasilitas yang mengesankan, tidak ada plugin bermasalah yang memiliki ulasan pengguna, yang mengarah ke pertanyaan tentang bagaimana plugin dipasang dan bagaimana aktivitas berbahaya tidak diperhatikan.
Sekarang, semua plugin yang bermasalah dihapus dari Toko Web Chrome. Menurut peneliti, aktivitas berbahaya terkait plugin yang diblokir telah berlangsung sejak Januari 2019, tetapi domain individu yang digunakan untuk melakukan tindakan jahat tercatat pada 2017.
Jamila Kaya menggunakan CRXcavator untuk mengungkap kampanye berskala besar dari ekstensi Chrome peniru yang menginfeksi pengguna dan mengekstrak data melalui malvertising sambil mencoba menghindari deteksi penipuan Google Chrome. Duo, Jamila, dan Google bekerja sama untuk memastikan bahwa ekstensi ini, dan ekstensi lain yang serupa, segera ditemukan dan dihapus.
Sebagian besar add-on berbahaya disajikan sebagai alat untuk mempromosikan produk dan berpartisipasi dalam layanan periklanan (pengguna melihat iklan dan menerima potongan). Selain itu, teknik pengalihan ke situs yang diiklankan digunakan dengan membuka halaman yang ditampilkan dalam string sebelum menampilkan situs yang diminta.
Semua plugin menggunakan teknik yang sama untuk menyembunyikan aktivitas berbahaya dan melewati mekanisme verifikasi plugin di Toko Web Chrome.
Kode untuk semua plugin hampir identik di tingkat sumber, dengan pengecualian nama fungsi yang unik untuk setiap plugin. Logika berbahaya dikirim dari server manajemen terpusat.
Mulanya, plugin yang terhubung ke domain yang memiliki nama yang sama dengan nama plugin (misalnya Mapstrek.com), setelah itu Itu dialihkan ke salah satu server manajemen yang menyediakan skrip untuk tindakan tambahan.
Diantara aksi yang dilakukan melalui plugin temukan unduhan data rahasia pengguna ke server eksternal, meneruskan ke situs berbahaya dan menyetujui pemasangan aplikasi hasad (Misalnya, pesan tentang infeksi komputer ditampilkan dan malware ditawarkan dengan kedok antivirus atau pembaruan browser).
Domain yang diarahkan ulang mencakup berbagai domain dan situs phishing untuk mengeksploitasi browser yang sudah ketinggalan zaman yang berisi kerentanan yang tidak dikoreksi (misalnya, setelah upaya eksploitasi dilakukan untuk menginstal program berbahaya yang mencegat sandi dan menganalisis transfer data rahasia melalui papan klip).
Jika Anda ingin mengetahui lebih banyak tentang catatan tersebut, Anda dapat berkonsultasi dengan publikasi aslinya Di tautan berikut.