Хлопці, які відповідають розробка веб-браузера Chrome працюють над підтримкою "здорового" середовища у магазині додатків браузера та з моменту інтеграції нового Google Manifest V3, були внесені різні зміни в безпеці і перш за все суперечки, породжені блокуванням API, які використовуються багатьма доповненнями для блокування реклами.
Вся ця робота була підсумована в різних результатах, з яких було розкрито блокування низки зловмисних доповнень які були знайдені в магазині Chrome.
На першому етапі незалежний слідчий Джаміла Кая та компанія Duo Security визначили різноманітні розширення Chomre, які спочатку працюють "законно", але при більш глибокому аналізі їх коду були виявлені операції, які працювали у фоновому режимі, з яких багато хто з них витягували дані користувачів.
Минулого року компанія Cisco Duo Security випустила CRXcavator, наш автоматизований інструмент оцінки безпеки розширень Chrome, щоб зменшити ризик, який розширення Chrome представлять організаціям, і дозволити іншим розробляти наші дослідження, щоб створити екосистему розширень Chrome, безпечніших для всіх.
Повідомивши про проблему в Google, в каталозі було знайдено понад 430 доповнень, кількість установок якої не повідомляється.
Примітно, що, незважаючи на вражаючу кількість зручностей, жоден із проблемних плагінів не має відгуків користувачів, що призводить до запитань про те, як були встановлені плагіни та як шкідлива діяльність не виявлялася.
Зараз, всі проблемні плагіни видаляються з Веб-магазину Chrome. За словами дослідників, зловмисна діяльність, пов’язана із заблокованими плагінами, триває з січня 2019 року, але окремі домени, які використовувались для здійснення шкідливих дій, були зафіксовані в 2017 році.
Джаміла Кая використовувала CRXcavator для розкриття масштабної кампанії розширень Chrome copycat, які заражали користувачів та витягували дані за допомогою зловмисної реклами, намагаючись уникнути виявлення шахрайства Google Chrome. Duo, Jamila та Google спільно працювали над тим, щоб ці розширення та інші подібні їм були негайно знайдені та видалені.
Більшість зловмисні доповнення були представлені як інструменти для просування продуктів та брати участь у рекламних послугах (користувач бачить рекламу та отримує відрахування). Крім того, використовувалася техніка перенаправлення на рекламовані сайти, відкриваючи сторінки, які відображались у рядку перед відображенням запитуваного сайту.
Усі плагіни використовували одну і ту ж техніку, щоб приховати зловмисні дії і обійти механізми перевірки плагінів у Веб-магазині Chrome.
Код для всіх плагінів був майже однаковим на вихідному рівні, за винятком імен функцій, унікальних для кожного плагіна. Зловмисна логіка передавалася з централізованих серверів управління.
Спочатку, плагін, підключений до домену, який має те саме ім’я, що й ім’я плагіна (наприклад Mapstrek.com), після чого Він був перенаправлений на один із серверів управління, який надав сценарій для додаткових дій.
Серед проведених акцій через плагіни знайти завантаження конфіденційних даних користувачів на зовнішній сервер, переадресація на шкідливі сайти та схвалення встановлення шкідливих програм (Наприклад, відображається повідомлення про зараження комп’ютером і пропонується зловмисне програмне забезпечення під виглядом антивіруса або оновлення браузера).
До перенаправлених доменів належать різні фішингові домени та сайти для використання застарілих браузерів які містять виправлені уразливості (наприклад, після спроб експлуатування було встановлено шкідливі програми, які перехоплюють паролі та аналізують передачу конфіденційних даних через буфер обміну).
Якщо ви хочете дізнатись більше про нотатку, ви можете переглянути оригінальну публікацію У наступному посиланні.