Những người phụ trách phát triển trình duyệt web Chrome đã và đang làm việc để duy trì một môi trường "lành mạnh" trong cửa hàng tiện ích bổ sung của trình duyệt và kể từ khi tích hợp Manifest V3 mới của Google, các thay đổi bảo mật khác nhau đã được thực hiện và trên hết là những tranh cãi được tạo ra bởi việc chặn các API được nhiều tiện ích bổ sung sử dụng để chặn quảng cáo.
Tất cả công việc này đã được tóm tắt trong các kết quả khác nhau, trong số đó việc chặn một số tiện ích bổ sung độc hại đã được tiết lộ đã được tìm thấy trong Cửa hàng Chrome.
Trong giai đoạn đầu, điều tra viên độc lập Jamila Kaya và công ty Duo Security đã xác định nhiều tiện ích mở rộng Chomre ban đầu hoạt động theo cách "hợp pháp", nhưng khi phân tích sâu hơn về mã của chúng, các hoạt động đang chạy trong nền đã được phát hiện, trong đó nhiều người trong số họ đã trích xuất dữ liệu người dùng.
Cisco Duo Security đã phát hành CRXcavator, công cụ đánh giá bảo mật tiện ích mở rộng Chrome tự động của chúng tôi, miễn phí vào năm ngoái để giảm rủi ro mà tiện ích mở rộng Chrome sẽ hiển thị cho các tổ chức và cho phép những người khác phát triển nghiên cứu của chúng tôi để tạo ra một hệ sinh thái tiện ích mở rộng Chrome an toàn hơn cho mọi người.
Sau khi báo cáo sự cố cho Google, hơn 430 tiện ích bổ sung đã được tìm thấy trong danh mục, có số lượng cài đặt không được báo cáo.
Đáng chú ý là mặc dù có số lượng cơ sở vật chất ấn tượng, không có plugin nào có vấn đề được người dùng đánh giá, dẫn đến câu hỏi về cách cài đặt plugin và cách hoạt động độc hại không bị phát hiện.
Bây giờ, tất cả các plugin có vấn đề đều bị xóa khỏi Cửa hàng Chrome trực tuyến. Theo các nhà nghiên cứu, hoạt động độc hại liên quan đến các plugin bị chặn đã diễn ra từ tháng 2019 năm 2017, nhưng các miền riêng lẻ được sử dụng để thực hiện các hành động độc hại đã được ghi lại vào năm XNUMX.
Jamila Kaya đã sử dụng CRXcavator để phát hiện ra một chiến dịch quy mô lớn sao chép các tiện ích mở rộng của Chrome đã lây nhiễm cho người dùng và trích xuất dữ liệu thông qua quảng cáo độc hại trong khi cố gắng trốn tránh sự phát hiện gian lận của Google Chrome. Duo, Jamila và Google đã làm việc cùng nhau để đảm bảo rằng các tiện ích mở rộng này và những tiện ích mở rộng khác tương tự như chúng, được tìm thấy và xóa ngay lập tức.
Hầu hết các tiện ích bổ sung độc hại đã được trình bày như một công cụ để quảng cáo sản phẩm và tham gia vào các dịch vụ quảng cáo (người dùng xem quảng cáo và nhận các khoản khấu trừ). Ngoài ra, kỹ thuật chuyển hướng đến các trang được quảng cáo đã được sử dụng bằng cách mở các trang được hiển thị trong một chuỗi trước khi hiển thị trang được yêu cầu.
Tất cả các plugin đều sử dụng cùng một kỹ thuật để ẩn hoạt động độc hại và bỏ qua cơ chế xác minh trình cắm trong Cửa hàng Chrome trực tuyến.
Mã cho tất cả các plugin gần như giống hệt nhau ở cấp nguồn, ngoại trừ các tên chức năng là duy nhất cho mỗi plugin. Logic độc hại được truyền từ các máy chủ quản lý tập trung.
Ban đầu, plugin được kết nối với một miền có cùng tên với tên plugin (ví dụ: Mapstrek.com), sau đó Nó được chuyển hướng đến một trong những máy chủ quản lý cung cấp tập lệnh cho các hành động bổ sung.
Trong số các hành động được thực hiện thông qua các plugin tìm tải xuống dữ liệu người dùng bí mật đến một máy chủ bên ngoài, chuyển tiếp đến các trang web độc hại và phê duyệt cài đặt các ứng dụng độc hại (Ví dụ: một thông báo về việc máy tính bị nhiễm trùng được hiển thị và phần mềm độc hại được cung cấp dưới vỏ bọc của một chương trình chống vi-rút hoặc một bản cập nhật trình duyệt).
Các miền được chuyển hướng bao gồm các miền và trang web lừa đảo khác nhau để khai thác các trình duyệt lỗi thời có chứa các lỗ hổng chưa được sửa chữa (ví dụ: sau khi các nỗ lực khai thác được thực hiện để cài đặt các chương trình độc hại đánh chặn mật khẩu và phân tích việc chuyển dữ liệu bí mật qua khay nhớ tạm).
Nếu bạn muốn biết thêm về ghi chú, bạn có thể tham khảo ấn phẩm gốc Trong liên kết sau đây.