Vijesti o Tehnologiji, Recenzije i Savjeti!

500 Chromeova proširenja uhvatila su krađu privatnih podataka tvrtke Windows 1,7 Milion korisnika


Google je uklonio 500 zlonamjernih Chromeovih proširenja iz svoje Web trgovine nakon što su otkrili da ubrizgavaju zlonamjerne oglase i otimaju podatke pregledavanja korisnika na poslužiteljima pod kontrolom napadača.

Ta su proširenja bila dio kampanje za zloporabu oglasa i prijevara koje se vode najmanje od siječnja 2019. godine, iako dokazi ukazuju na mogućnost da je akter koji stoji iza sheme aktivan od 2017. godine.

Do otkrića dolaze kao dio zajedničke istrage sigurnosnog istraživača Jamila Kaya i tvrtke Duo Security u vlasništvu tvrtke Cisco, koja je pronašla 70 Chromeovih proširenja s više 1,7 milijuna instalacija

Nakon privatnog dijeljenja otkrića s Googleom, tvrtka je identificirala 430 problematičnijih proširenja preglednika, koja su sva vremena deaktivirana.

"Istaknuta zloporaba kao vektor napada nastavit će se povećavati sve dok oglašavanje na temelju praćenja ostane sveprisutno, a posebno ako korisnici ostanu nedovoljno zaštićeni mehanizmima zaštite", rekao je Jacob Rickerd iz tvrtke Kaya i Duo Securitya.

Dobro prikrivena kampanja za reklamiranje

Korištenjem alata za procjenu sigurnosti Chrome proširenja tvrtke Duo Security – pod nazivom CRXcavator – istraživači su uspjeli utvrditi da su dodaci za preglednik upravljani tako što su nenamjerno povezivali klijente preglednika na poslužitelju naredbe i kontrole (C2) koji kontrolira napadač, što je omogućilo eksfiltraciju privatnog pregledavanje podataka bez znanja korisnika.

Proširenja, koja su funkcionirala pod krinkom promocija i reklamnih usluga, imala su gotovo identičan izvorni kod, ali su se razlikovala u nazivima funkcija, čime su izbjegli mehanizme otkrivanja Chrome web-trgovine.

Proširenja za Chrome

Osim što su zahtijevali opsežna dopuštenja koja su dodacima omogućila međuspremnik i sve kolačiće pohranjene lokalno u pregledniku, periodično su se povezali na domenu koja dijeli isto ime kao i dodatak (npr. Mapstrekcom, ArcadeYumcom) kako bi provjerili upute o dobivanju sami se deinstalirali iz preglednika.

Nakon prvog kontakta sa web-lokacijom, dodaci su nakon toga uspostavili kontakt s tvrdo kodiranom C2 domenom – npr. DTSINCEcom – kako bi se čekalo daljnje naredbe, lokacije za učitavanje korisničkih podataka i primanje ažuriranih popisa zlonamjernih oglasa i preusmjeravanja domena, koje naknadno sesije pregledavanja korisnika preusmjeravaju na kombinaciju zakonitih i krađivačkih web mjesta.

"Veliki dio njih su benigni tokovi oglasa, što dovodi do oglasa poput Macy's, Dell ili Best Buy", navodi se u izvješću. "Neki se od tih oglasa mogu smatrati zakonitim; međutim, 60 do 70 posto vremena preusmjeravanja, tokovi oglasa odnose se na zlonamjerno web mjesto."

Pazite na proširenja preglednika s krađom podataka

Ovo nije prvi put da su u pregledniku Chrome otkrivena proširenja krađe podataka. Prošlog srpnja, istraživač sigurnosti Sam Jadali i The Washington Post otkrili su ogromno curenje podataka nazvano DataSpii (izraženo špijun podataka) koje su počinili sjenovita proširenja Chrome i Firefox instalirana na čak četiri milijuna korisnika.

Ti su dodaci prikupili aktivnost pregledavanja – uključujući podatke koje je moguće identificirati osobno – i podijelili su ih s neimenovanim posrednikom podataka treće strane koji je proslijedio analitičkoj tvrtki nazvanoj Nacho Analytics (sada je zatvorena), koja je potom prikupljene podatke prodala u svoju pretplatu. članova u skoro stvarnom vremenu.

Kao odgovor, Google je od 15. listopada 2019. počeo zahtijevati da proširenja zahtijevaju pristup "najmanje količini podataka", zabranjujući sva proširenja koja nemaju politiku privatnosti i prikupljaju podatke o navikama pregledavanja korisnika.

Za sada vrijedi isto pravilo opreza: pregledajte dopuštenja proširenja, razmislite o deinstaliranju proširenja koje rijetko koristite ili prelazite na druge softverske alternative koje ne zahtijevaju invazivni pristup aktivnostima preglednika.