По оценкам, 37 миллионов установок ряда уязвимых расширений Chrome по всему миру передают историю просмотров пользователей на внешние серверы.
Согласно выводам независимого исследователя безопасности, использующего псевдоним «Q Continuum», в общей сложности 287 расширений отправляли данные, которые точно соответствовали посещенным URL-адресам во время имитации сеансов просмотра.
«Действующие лица, стоящие за утечками, охватывают весь спектр: Similarweb, Curly Doggo, Offidocs, китайские компании, множество мелких неизвестных брокеров данных и таинственную «Big Star Labs», которая, по-видимому, является расширенным подразделением Similarweb», — сообщил исследователь. Для проведения анализа исследователь создал автоматизированный конвейер, который запускал экземпляры Chrome, устанавливал расширения, посещал предопределенный набор веб-сайтов и перехватывал исходящие коммуникации.
Исследователь предупредил, что такой сбор данных может привести к корпоративному шпионажу, раскрывая внутренние URL-адреса компании, к которым обращались сотрудники, а в случаях, когда расширения также получают файлы cookie, могут способствовать краже учетных данных, предоставляя злоумышленникам детали активных веб-сеансов.
Расширения включают VPN, инструменты для повышения продуктивности и надстройки для покупок
Исследование выявило многочисленные широко распространенные расширения с рискованным поведением в таких категориях, как VPN/прокси-сервисы, поиск купонов, инструменты для работы с PDF и утилиты для браузера. Многие из них имеют сотни тысяч или миллионы пользователей.
Некоторые из этих расширений включают Pop up blocker for Chrome, Stylish, BlockSite block Websites, Stay Focused, SimilarWeb – Website traffic and SEO Checker, WOT: Website Security and Safety Checker, Smarty, Video Ad Blocker Plus for YouTube, Knowee AI и CrxMouse: Mouse Gestures.
По словам исследователя, несколько расширений запрашивали широкие разрешения на доступ к хостам (межсайтовые). Это позволило им отслеживать события навигации и активность страниц в различных доменах. «Если расширение просто считывает заголовок страницы или внедряет CSS, его сетевой след должен оставаться постоянным независимо от длины посещаемого нами URL-адреса», — пояснил исследователь логику своего обнаружения.
«Если исходящий трафик растет линейно с длиной URL-адреса, у нас есть высокая вероятность того, что расширение отправляет сам URL (или весь HTTP-запрос) на удаленный сервер».
Зашифрованная передача данных затрудняла обнаружение
Исследователь сообщил в своем блоге, что несколько из этих расширений пытались скрыть характер передаваемых данных. Исходящие полезные нагрузки часто шифровались или кодировались перед передачей, что препятствовало автоматическому анализу.
«Ручной анализ перехваченного трафика выявил различные схемы обфускации: base64, ROT47, сжатие LZ-String и полное шифрование AES-256, обернутое в RSA-OAEP», — сообщил исследователь в отдельном отчете, опубликованном по результатам исследования. «Декодирование этих полезных нагрузок показало, что необработанные URL-адреса поиска Google, рефереры страниц, идентификаторы пользователей и временные метки отправлялись в сеть проприетарных доменов и конечных точек облачных провайдеров.
Тестовая среда исследователя работала под управлением Chrome в контейнере Docker, что позволяло изолировать и последовательно анализировать каждое расширение.
«Следует отметить, что, вероятно, не все расширения, сливающие историю браузера, имеют злой умысел», — сказал исследователь, уточнив, что ему пришлось вручную удалить несколько ложных срабатываний из журналов расширений, помеченных его автоматическим сканером. «Некоторые расширения могут быть безвредными и нуждаться в сборе истории браузера для таких функций, как, например, «Avast Online Security & Privacy».
Раскрытие информации включало список URL-адресов Chrome Web Store и действующих лиц, стоящих за этими расширениями, для справки.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
