Специалист по безопасности под псевдонимом «Q Continuum» обнаружил 287 расширений для Chrome, которые крадут историю браузера. «За утечками стоят разные игроки: Similarweb, Curly Doggo, Offidocs, китайские компании, множество мелких неизвестных дата-брокеров, а также загадочная фирма Big Star Labs, которая, похоже, является дочерней компанией Similarweb», — говорится в исследовательском отчете.
Для анализа исследователь разработал автоматизированный конвейер, который запускал экземпляры Chrome, устанавливал расширения, посещал предопределенный набор веб-сайтов и фиксировал исходящие соединения.
Он предупредил, что сбор таких данных может привести к корпоративному шпионажу, раскрывая внутренние корпоративные URL-адреса, к которым обращаются сотрудники. В случаях, когда расширения также собирают файлы cookie, они могут облегчить кражу учетных данных, предоставляя злоумышленникам подробную информацию об активных веб-сеансах.
VPN, инструменты для повышения продуктивности и надстройки для покупок
Исследование выявило множество популярных расширений с рискованным поведением в таких категориях, как VPN/прокси-сервисы, поиск купонов, PDF-инструменты и утилиты для браузера. Многие из них имеют сотни тысяч или миллионы пользователей.
Среди этих расширений — блокировщики всплывающих окон для Chrome: Stylish, BlockSite, Stay Focused и SimilarWeb. Также были упомянуты: Website Traffic и SEO Checker, WOT: Website Security и Safety Checker, Smarty, Video Ad Blocker Plus для YouTube, Knowee AI и CrxMouse: Mouse Gestures.
По словам исследователя, несколько расширений запрашивали обширные разрешения на хост (кросс-сайтовые), что позволяло им отслеживать события навигации и действия страниц в разных доменах. «Если расширение просто читает заголовок страницы или вставляет CSS, его сетевой след должен оставаться одинаковым независимо от длины посещенного нами URL», — объясняет он логику маркировки в своем отчете.
«Если исходящий трафик растет линейно с длиной URL, весьма вероятно, что расширение отправляет сам URL (или весь HTTP-запрос) на удаленный сервер», — добавляет эксперт.
Зашифрованная эксфильтрация затруднила обнаружение
Кроме того, он указывает, что несколько этих расширений пытались скрыть тип передаваемых данных. Исходящие полезные данные часто шифровались или кодировались перед передачей, что препятствовало автоматизированной проверке.
«Ручная проверка перехваченного трафика выявила множество методов обфускации: Base64, ROT47, сжатие LZ-String и полное шифрование AES-256, упакованное в RSA-OAEP», — поясняет исследователь в другом отчете. «Расшифровка этих полезных данных показала, что необработанные URL-адреса поиска Google, рефералы страниц, идентификаторы пользователей и временные метки отправлялись в сеть проприетарных доменов и конечных точек облачных провайдеров.
Тестовая среда исследователя запускала Chrome в контейнере Docker, что позволяло изолированно и последовательно анализировать каждое расширение.
Однако специалист по безопасности признал, что, вероятно, не все расширения, раскрывающие историю браузера, имеют зловредные намерения. Он также уточнил, что некоторые ложные срабатывания пришлось вручную удалять из журналов расширений, отмеченных автоматическими сканерами. «Некоторые расширения могут быть безвредными и им необходимо собирать историю браузера для таких функций, как, например, Avast Online Security & Privacy».
Отчет об обнаружении содержал список URL-адресов из Chrome Web Store и информацию об игроках, стоящих за этими расширениями, в качестве справочного материала. (jm)
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
