Gutta som har ansvaret utvikling av nettleser Chrome har jobbet med å opprettholde et "sunt" miljø i nettleserens tilleggsbutikk og siden integreringen av Googles nye Manifest V3, forskjellige sikkerhetsendringer er implementert og spesielt kontroversene generert av blokkering av API-er som brukes av mange tillegg for å blokkere reklame.
Alt dette arbeidet er oppsummert i forskjellige resultater, av hvilke blokkeringen av en rekke ondsinnede tillegg ble avslørt som ble funnet i Chrome Store.
I den første fasen, den uavhengige etterforskeren Jamila Kaya og selskapet Duo Security identifiserte en rekke Chomre-utvidelser som i utgangspunktet fungerer på en "legitim" måte, men i en dypere analyse av koden til disse ble operasjoner som kjørte i bakgrunnen oppdaget, hvorav mange av dem hentet brukerdata.
Cisco Duo Security ga ut CRXcavator, vårt automatiserte Chrome-utvidelsesverktøy for sikkerhetsvurdering, gratis i fjor for å redusere risikoen Chrome-utvidelser vil presentere for organisasjoner og la andre utvikle forskningen vår for å skape et økosystem. Av Chrome-utvidelser tryggere for alle.
Etter å ha rapportert problemet til Google, mer enn 430 tillegg ble funnet i katalogen, hvor antall installasjoner ikke ble rapportert.
Det er bemerkelsesverdig at til tross for det imponerende antallet fasiliteter, ingen av de problematiske plugins har brukeranmeldelser, som førte til spørsmål om hvordan programtilleggene ble installert og hvordan den ondsinnede aktiviteten gikk ubemerket.
Nå, fjernes alle problematiske plugins fra Chrome Nettmarked. Ifølge forskerne har ondsinnet aktivitet relatert til blokkerte plugins pågått siden januar 2019, men de enkelte domenene som ble brukt til å utføre ondsinnede handlinger ble registrert i 2017.
Jamila Kaya brukte CRXcavator for å avdekke en storstilt kampanje med kopiering av Chrome-utvidelser som infiserte brukere og hentet ut data gjennom malvertising mens de prøvde å unngå Google Chrome-oppdagelse av svindel. Duo, Jamila og Google jobbet sammen for å sikre at disse utvidelsene, og andre som dem, ble funnet og fjernet umiddelbart.
Det meste av ondsinnede tillegg ble presentert som verktøy for å markedsføre produkter og delta i annonseringstjenester (brukeren ser annonser og får fradrag). Også teknikken for omdirigering til annonserte nettsteder ble brukt når du åpnet sider som ble vist i en streng før de viste det forespurte nettstedet.
Alle plugins brukte samme teknikk for å skjule ondsinnet aktivitet og omgå plugin-verifiseringsmekanismene i Chrome Nettmarked.
Koden for alle plugins var nesten identisk på kildenivå, med unntak av funksjonsnavnene som var unike for hvert plugin. Den ondsinnede logikken ble overført fra sentraliserte administrasjonsservere.
utgangspunktet, pluginet koblet til et domene som har samme navn som plugin-navnet (for eksempel Mapstrek.com), hvoretter Den ble omdirigert til en av administrasjonsserverne som ga skriptet for ytterligere handlinger.
Blant de utførte handlingene gjennom plugins finne nedlasting av konfidensielle brukerdata til en ekstern server, videresending til ondsinnede nettsteder og godkjenning av installasjon av ondsinnede applikasjoner (For eksempel vises en melding om datamaskininfeksjon og malware tilbys under dekke av et antivirus eller en nettleseroppdatering).
De omdirigerte domenene inkluderer forskjellige phishing-domener og nettsteder for å utnytte utdaterte nettlesere som inneholder ukorrigerte sårbarheter (for eksempel etter utnyttelse ble det gjort forsøk på å installere ondsinnede programmer som fanger opp passord og analyserer overføring av konfidensielle data via utklippstavlen).
Hvis du vil vite mer om notatet, kan du gå til den originale publikasjonen I den følgende lenken.