Sokan ironikusan ígérik, hogy a krómot beolvassa a vázlatos böngésző kiterjesztéseire
Dióhéjban: Egy biztonsági kutató nemrégiben közel három tucat Chrome webáruház -kiterjesztést fedezett fel, amely gyanús viselkedést mutat. Sokan kutatási asszisztensként jelennek meg, míg mások hirdetési blokkolókként, biztonsági eszközöknek vagy kiterjesztési szkennerekként jelentkeznek – mindegyik titokzatosan kapcsolódik egyetlen, nem használt domainhez.
John Tucker, a Secure Annex böngésző biztonsági cég alapítója felfedezte a gyanús kiterjesztéseket, miközben segített egy olyan ügyfelet, aki egy vagy többet telepített a biztonsági megfigyeléshez. Az első piros zászló: Az elemzett 132 kiterjesztés közül kettő nem szerepelt, vagyis nem jelennek meg a webes keresésekben vagy a Chrome Web Store -ban. A felhasználók ezeket az eszközöket csak közvetlen URL -en keresztül tölthetik le. A tőzsdén jegyzett kiterjesztések nem olyan ritkák. A vállalkozások néha használják őket a belső eszközökhöz való nyilvános hozzáférés korlátozására.
A rosszindulatú színészek azonban gyakran nem jegyzett kiterjesztéseket használnak a felhasználók kiaknázására, rejtve tartására és a Google felismerésére. Miután Tucker elkezdte elemezni a két gyanús kiterjesztést, még 33 -at fedezett fel. Sokan csatlakoznak ugyanazon szerverhez, azonos kódmintákat használnak, és ugyanazokat az engedélyeket kérik.
Az alkalmazások kérik a felhasználókat az érzékeny adatokhoz való hozzáféréshez, beleértve a böngésző füleket és az ablakokat, a sütiket, a tárolást, a szkripteket, a riasztásokat és a kezelési API -kat. Ez a hozzáférés szintje szokatlanul magas, így a rossz szereplők számára könnyű kiaknázni a felhasználó rendszerét különféle rosszindulatú célokra.
„Ezen a ponton ennek az információnak elegendőnek kell lennie ahhoz, hogy bármely szervezet ésszerűen kiszabadítsa ezt a környezetükből, mivel ez felesleges kockázatot jelent” – írta Tucker csütörtökön blogjában. „A 35 alkalmazás bármelyikének egyetlen engedélye a menedzsment” – tette hozzá egy e -mailben az Ars Technica -nak.
Az alkalmazások kérésére a gyanús számú engedélyek mellett a programozásuk ugyanúgy vonatkozik. Tucker úgy találta, hogy az alkalmazások erősen elárasztották a kódot. A fejlesztő csak így programozná a szoftverüket, hogy megnehezítse mások számára annak tevékenységeit.
A felhasználók együttesen 4 millió alkalommal telepítették a 35 alkalmazást. Noha nem világos, hogy a nem tőzsdén nem jegyzett kiterjesztések oly sok figyelmet vonzottak anélkül, hogy a keresésekben megjelentek volna, Tucker megjegyzi, hogy a 10 Google „kiemelt” címkéje – a Google fejlesztőknek általában megadott megnevezés, amelyet a Google ellenőrzött és bizalmakkal rendelkezik. Nem részletezte, hogy ez hogyan befolyásolhatja eloszlásukat.
Tucker nem talált közvetlen bizonyítékot arra, hogy a kiterjesztések kiszűrik az adatokat – de ez nem zárja ki. Az egyik, a Fire Shield Extension Protection elnevezésű eszköz ironikusan azt állítja, hogy a Chrome -t rosszindulatú vagy gyanús beépülő modulokra szkenneli. Az elemzés után Tucker felfedezett egy JavaScript fájlt, amely képes feltölteni az adatokat, és letöltheti a kódot és az utasításokat több árnyékos tartományból, köztük az Unknow.com nevű.
Ez a domain kiemelkedik, mert mind a 35 alkalmazás a háttérszolgáltatás démonjaiban hivatkozik, annak ellenére, hogy nincs látható webes jelenléte vagy egyértelmű funkciója. A Whois Records „elérhető” és „eladó” néven sorolja fel, különös tekintettel arra, hogy oly sok kiterjesztés rámutatna rá.
„Vidám módon a domainnek nincs relevanciája a kódban, de hihetetlenül hasznos az összes kiterjesztés összekapcsolásához!” – mondta Tucker.
A Secure Annex a blogjában és a nyilvánosan hozzáférhető táblázatban közzétette a kiterjesztési azonosítók és permhashes átfogó listáját. A hosszabbító nevek egyszerűbb listája jelenik meg a fenti képen. Ha ezek közül bármelyik telepítve van, Tucker azt javasolja, hogy azonnal távolítsák el őket – a biztonsági kockázatok messze meghaladják a lehetséges előnyöket.