Fantje, ki so glavni razvoj spletnega brskalnika Chrome si prizadeva za ohranjanje "zdravega" okolja v trgovini z dodatki za brskalnik in od integracije novega Google Manifest V3, izvedene so bile različne varnostne spremembe in predvsem kontroverze, ki jih povzroča blokiranje API-jev, ki jih uporabljajo številni dodatki za blokiranje oglaševanja.
Vsa ta dela so povzeta v različnih rezultatih, od katerega razkritje blokiranja številnih zlonamernih dodatkov ki so jih našli v trgovini Chrome.
V prvi fazi neodvisni preiskovalec Jamila Kaya in podjetje Duo Security sta identificirala vrsto razširitev Chomre, ki sprva delujejo "zakonito", toda v globlji analizi njihove kode so bile zaznane operacije, ki so se izvajale v ozadju, od katerih jih je veliko pridobivalo uporabniške podatke.
Cisco Duo Security je lani brezplačno izdal CRXcavator, naše avtomatizirano orodje za oceno varnosti razširitev za Chrome, da bi zmanjšal tveganje, da bodo razširitve za Chrome predstavljene organizacijam, in drugim omogočil razvoj naših raziskav, da bi ustvarili ekosistem razširitev za Chrome, ki so varnejši za vse.
Po prijavi težave Googlu, v katalogu je bilo najdenih več kot 430 dodatkov, o številu instalacij niso poročali.
Omeniti velja, da kljub impresivnemu številu objektov, noben od problematičnih vtičnikov nima uporabniških pregledov, kar vodi do vprašanj o tem, kako so bili vtičniki nameščeni in kako zlonamerna dejavnost ni bila zaznana.
Zdaj, so vsi problematični vtičniki odstranjeni iz spletne trgovine Chrome. Po mnenju raziskovalcev zlonamerna dejavnost, povezana z blokiranimi vtičniki, traja od januarja 2019, vendar so bile posamezne domene, ki so bile uporabljene za izvajanje zlonamernih dejanj, zabeležene leta 2017.
Jamila Kaya je s CRXcavatorjem razkrila obsežno kampanjo razširitev Chrome copycat, ki so okužile uporabnike in podatke izvlekle z napačnim oglaševanjem, medtem ko se je poskušala izogniti zaznavanju goljufij v brskalniku Google Chrome. Duo, Jamila in Google so sodelovali pri zagotavljanju, da so bile te razširitve in druge, podobne njim, takoj najdene in odstranjene.
Večina zlonamerni dodatki so bili predstavljeni kot orodja za promocijo izdelkov in sodelujejo v oglaševalskih storitvah (uporabnik vidi oglase in prejme odbitke). Prav tako je bila uporabljena tehnika preusmerjanja na oglaševana spletna mesta z odpiranjem strani, ki so bile prikazane v nizu pred prikazom zahtevanega spletnega mesta.
Vsi vtičniki so uporabljali isto tehniko za skrivanje zlonamernih dejavnosti in obiti mehanizme za preverjanje vtičnikov v spletni trgovini Chrome.
Koda za vse vtičnike je bila skoraj enaka na ravni vira, z izjemo imen funkcij, ki so bila unikatna za vsak vtičnik. Zlonamerna logika se je prenašala iz centraliziranih strežnikov za upravljanje.
Na začetku je dr. vtičnik, povezan z domeno, ki ima isto ime kot ime vtičnika (na primer Mapstrek.com), po katerem Preusmerjen je bil na enega od strežnikov za upravljanje, ki je skript zagotavljal za dodatna dejanja.
Med izvedenimi akcijami prek vtičnikov poiščite prenos zaupnih uporabniških podatkov na zunanji strežnik, posredovanje na zlonamerna spletna mesta in odobritev namestitve zlonamernih aplikacij (Na primer, prikaže se sporočilo o okužbi računalnika in zlonamerna programska oprema se ponuja pod krinko protivirusne programske opreme ali posodobitve brskalnika).
Preusmerjene domene vključujejo različne lažne domene in spletna mesta za izkoriščanje zastarelih brskalnikov ki vsebujejo nepopravljene ranljivosti (na primer po poskusih izkoriščanja za namestitev zlonamernih programov, ki prestrezajo gesla in analizirajo prenos zaupnih podatkov prek odložišča).
Če želite izvedeti več o opombi, si oglejte izvirno publikacijo V naslednji povezavi.