Lelaki yang bertugas pembangunan penyemak imbas web Chrome telah berusaha mengekalkan persekitaran yang "sihat" di dalam kedai alat tambah penyemak imbas dan sejak penyatuan Manifest V3 baru Google, pelbagai perubahan keselamatan telah dilaksanakan dan terutamanya kontroversi yang dihasilkan oleh penyekat API yang digunakan oleh banyak add-on untuk menyekat iklan.
Semua karya ini telah diringkaskan dalam hasil yang berbeza, yang mana penyekat sejumlah pengaya berbahaya telah didedahkan yang terdapat di Kedai Chrome.
Pada peringkat pertama, penyiasat bebas Jamila Kaya dan syarikat Duo Security mengenal pasti pelbagai sambungan Chomre yang pada mulanya beroperasi dengan cara yang "sah", tetapi dalam analisis yang lebih mendalam mengenai kod ini, operasi yang dijalankan di latar belakang dikesan, yang mana banyak daripada mereka mengekstrak data pengguna.
Cisco Duo Security mengeluarkan CRXcavator, alat penilaian keselamatan sambungan Chrome automatik kami, secara percuma tahun lalu untuk mengurangkan risiko penyambungan Chrome kepada organisasi dan membolehkan pihak lain mengembangkan penyelidikan kami untuk mewujudkan ekosistem. Sambungan Chrome lebih selamat untuk semua orang.
Setelah melaporkan masalah itu kepada Google, lebih daripada 430 tambahan terdapat dalam katalog, jumlah pemasangannya tidak dilaporkan.
Perlu diperhatikan bahawa walaupun terdapat banyak kemudahan, tiada plugin yang bermasalah mempunyai ulasan pengguna, membawa kepada persoalan mengenai bagaimana plugin dipasang dan bagaimana aktiviti jahat tidak dapat dikesan.
Sekarang, semua plugin yang bermasalah dikeluarkan dari Kedai Web Chrome. Menurut para penyelidik, aktiviti berniat jahat yang berkaitan dengan plugin yang disekat telah berlaku sejak Januari 2019, tetapi domain individu yang digunakan untuk melakukan tindakan jahat dicatatkan pada tahun 2017.
Jamila Kaya menggunakan CRXcavator untuk membongkar kempen berskala besar penyambungan Chrome yang menjangkiti pengguna dan mengekstrak data melalui iklan jahat ketika cuba menghindari pengesanan penipuan Google Chrome. Duo, Jamila, dan Google bekerjasama untuk memastikan bahawa pelanjutan ini, dan yang lain seperti itu, dijumpai dan dikeluarkan segera.
Kebanyakan add-on berniat jahat disajikan sebagai alat untuk mempromosikan produk dan mengambil bahagian dalam perkhidmatan pengiklanan (pengguna melihat iklan dan menerima potongan). Juga, teknik pengalihan ke situs yang diiklankan digunakan ketika membuka halaman yang ditampilkan dalam string sebelum menampilkan situs yang diminta.
Semua pemalam menggunakan teknik yang sama untuk menyembunyikan aktiviti jahat dan memintas mekanisme pengesahan pemalam di Kedai Web Chrome.
Kod untuk semua pemalam hampir sama pada tingkat sumber, kecuali nama fungsi yang unik untuk setiap pemalam. Logik jahat dihantar dari pelayan pengurusan terpusat.
Pada mulanya, pemalam yang disambungkan ke domain yang mempunyai nama yang sama dengan nama pemalam (contohnya Mapstrek.com), selepas itu Itu diarahkan ke salah satu pelayan pengurusan yang menyediakan skrip untuk tindakan tambahan.
Antara tindakan yang dijalankan melalui pemalam cari muat turun data pengguna sulit ke pelayan luaran, meneruskan ke laman web berniat jahat dan meluluskan pemasangan aplikasi berniat jahat (Sebagai contoh, mesej mengenai jangkitan komputer ditampilkan dan perisian hasad ditawarkan dengan alasan antivirus atau kemas kini penyemak imbas).
Domain yang diarahkan termasuk pelbagai domain dan laman phishing untuk memanfaatkan penyemak imbas yang ketinggalan zaman yang mengandungi kerentanan yang tidak diperbaiki (misalnya, setelah usaha eksploitasi dilakukan untuk memasang program jahat yang memintas kata laluan dan menganalisis pemindahan data sulit melalui papan keratan).
Sekiranya anda ingin mengetahui lebih lanjut mengenai nota tersebut, anda boleh melihat penerbitan asal Dalam pautan berikut.