Vaikinai, kurie yra atsakingi interneto naršyklės kūrimas „Chrome“ stengėsi palaikyti „sveiką“ aplinką naršyklės priedų parduotuvėje ir integravus naują „Google“ „Manifest V3“, buvo įgyvendinti įvairūs saugumo pakeitimai ir visų pirma ginčai, atsirandantys blokuojant API, naudojamus daugelyje priedų reklamai blokuoti.
Visas šis darbas buvo apibendrintas skirtingais rezultatais, Iš kurių buvo atskleista daugelio kenksmingų priedų blokavimas kurie buvo rasti „Chrome“ parduotuvėje.
Pirmajame etape nepriklausomas tyrėjas Jamila Kaya ir kompanija „Duo Security“ nustatė įvairius „Chomre“ plėtinius, kurie iš pradžių veikia „teisėtai“, bet giliau analizuojant jų kodą, buvo aptiktos fone vykusios operacijos, iš kurių daugelis jų išskyrė vartotojo duomenis.
„Cisco Duo Security“ praėjusiais metais nemokamai išleido automatinį „Chrome“ plėtinių saugos vertinimo įrankį „CRXcavator“, kad sumažintų riziką, kurią „Chrome“ plėtiniai teiks organizacijoms, ir leis kitiems plėtoti mūsų tyrimus, kad būtų sukurta ekosistema. „Chrome“ plėtiniai yra saugesni visiems.
Pranešę apie problemą „Google“, kataloge rasta daugiau nei 430 priedų, apie kurio įrengimų skaičių nepranešta.
Pažymėtina, kad nepaisant įspūdingo įrenginių skaičiaus, nė vienas iš probleminių papildinių neturi vartotojų atsiliepimų, todėl kyla klausimų apie tai, kaip buvo įdiegti papildiniai ir kaip nenustatyta kenkėjiškos veiklos.
Dabar, visi probleminiai papildiniai pašalinami iš „Chrome“ internetinės parduotuvės. Tyrėjų teigimu, kenkėjiška veikla, susijusi su užblokuotais papildiniais, vyksta nuo 2019 m. Sausio mėn., Tačiau atskiri domenai, kurie buvo naudojami kenkėjiškiems veiksmams atlikti, buvo užfiksuoti 2017 m.
Jamila Kaya naudodamas „CRXcavator“ atskleidė plataus masto „Chrome“ plėtinių kopijavimo kampaniją, kuri užkrėtė vartotojus ir išgauna duomenis naudodama netinkamą bandymą išvengti „Google Chrome“ sukčiavimo aptikimo. „Duo“, „Jamila“ ir „Google“ bendradarbiaudami užtikrino, kad šie plėtiniai ir kiti panašūs į juos būtų nedelsiant rasti ir pašalinti.
Dauguma kenkėjiški priedai buvo pristatomi kaip įrankiai produktams reklamuoti ir dalyvauti reklaminėse paslaugose (vartotojas mato skelbimus ir gauna išskaitymus). Be to, peradresavimo į reklamuojamas svetaines technika buvo naudojama atidarant puslapius, kurie buvo rodomi eilutėje prieš rodant prašomą svetainę.
Visuose įskiepiuose buvo naudojama ta pati technika, kad paslėptų kenkėjišką veiklą ir apeiti papildinių patvirtinimo mechanizmus „Chrome“ internetinėje parduotuvėje.
Visų įskiepių kodas šaltinio lygiu buvo beveik identiškas, išskyrus funkcijų pavadinimus, kurie buvo unikalūs kiekvienam įskiepiui. Kenkėjiška logika buvo perduodama iš centralizuoto valdymo serverių.
Iš pradžių įskiepis, prijungtas prie domeno, kurio vardas yra tas pats kaip ir įskiepio pavadinimo (pvz., Mapstrek.com), po kurio Jis buvo nukreiptas į vieną iš valdymo serverių, kuris pateikė papildomų veiksmų scenarijų.
Tarp atliktų veiksmų per įskiepius rasti konfidencialių vartotojo duomenų atsisiuntimą į išorinį serverį, persiuntimas į kenkėjiškas svetaines ir kenkėjiškų programų diegimo patvirtinimas (Pavyzdžiui, rodomas pranešimas apie kompiuterio užkrėtimą ir siūloma kenkėjiška programa, prisidengiant antivirusine programa arba atnaujinus naršyklę).
Nukreipti domenai apima įvairius sukčiavimo domenus ir svetaines, kad būtų galima panaudoti pasenusias naršykles kuriuose yra neištaisytų pažeidžiamumų (pvz., bandant išnaudoti bandymus įdiegti kenkėjiškas programas, kurios perima slaptažodžius ir analizuoja konfidencialių duomenų perdavimą per mainų sritį).
Jei norite sužinoti daugiau apie užrašą, galite peržiūrėti originalų leidinį Šioje nuorodoje.