Κακόβουλες επεκτάσεις Chrome με 75 εκατομμύρια εγκαταστάσεις καταργήθηκαν από το Web Store
Related Posts
Η Google αφαίρεσε από το Chrome Web Store 32 κακόβουλες επεκτάσεις που θα μπορούσαν να αλλάξουν τα αποτελέσματα αναζήτησης και να προωθήσουν ανεπιθύμητες ή ανεπιθύμητες διαφημίσεις. Συλλογικά, έρχονται με πλήθος λήψεων 75 εκατομμυρίων.
Οι επεκτάσεις διέθεταν νόμιμη λειτουργικότητα για να μην γνωρίζουν οι χρήστες την κακόβουλη συμπεριφορά που περιλάμβανε συγκεχυμένο κώδικα για την παράδοση των ωφέλιμων φορτίων.
Ο ερευνητής κυβερνοασφάλειας Wladimir Palant ανέλυσε την επέκταση PDF Toolbox (2 εκατομμύρια λήψεις) που είναι διαθέσιμη από το Chrome Web Store και διαπίστωσε ότι περιελάμβανε κώδικα που ήταν μεταμφιεσμένος ως νόμιμο περιτύλιγμα API επέκτασης.
Σε ένα
εγγραφή
στα μέσα Μαΐου, ο ερευνητής εξηγεί ότι ο κώδικας επέτρεπε το «serasearchtop[.]com» για την εισαγωγή αυθαίρετου κώδικα JavaScript σε οποιονδήποτε ιστότοπο επισκέφτηκε ο χρήστης.
Η πιθανότητα κατάχρησης ποικίλλει από την εισαγωγή διαφημίσεων σε ιστοσελίδες έως την κλοπή ευαίσθητων πληροφοριών. Ωστόσο, ο Palant δεν παρατήρησε καμία κακόβουλη δραστηριότητα, επομένως ο σκοπός του κώδικα παρέμεινε ασαφής.
Ο ερευνητής παρατήρησε επίσης ότι ο κώδικας είχε ρυθμιστεί να ενεργοποιείται 24 ώρες μετά την εγκατάσταση της επέκτασης, μια συμπεριφορά που συνήθως σχετίζεται με κακόβουλες προθέσεις.
Πριν λίγες μέρες το Palant δημοσίευσε
μια συνεχόμενη ανάρτηση
σχετικά με την υπόθεση για να ειδοποιήσει ότι είχε ανακαλύψει τον ίδιο ύποπτο κωδικό σε άλλες 18 επεκτάσεις Chrome με συνολικό αριθμό λήψεων 55 εκατομμυρίων. Μερικά παραδείγματα περιλαμβάνουν:
- Αυτόματη παράκαμψη για το Youtube – 9 εκατομμύρια ενεργοί χρήστες
- Soundboost – 6,9 εκατομμύρια ενεργοί χρήστες
- Μπλοκ Crystal Ad – 6,8 εκατομμύρια ενεργοί χρήστες
- Brisk VPN – 5,6 εκατομμύρια ενεργοί χρήστες
- Clipboard Helper – 3,5 εκατομμύρια ενεργοί χρήστες
- Maxi Refresher – 3,5 εκατομμύρια ενεργοί χρήστες
Τη στιγμή της δημοσίευσης της δεύτερης ανάρτησης του Palant, όλες οι επεκτάσεις εξακολουθούσαν να είναι διαθέσιμες στο Chrome Web Store.
Η πιο δημοφιλής από τις κακόβουλες επεκτάσεις
(Avast)
Συνεχίζοντας την έρευνά του, ο Palant βρήκε δύο παραλλαγές του κώδικα: μια που μεταμφιέζεται ως το πρόγραμμα περιήγησης WebExtension του Mozilla API Polyfill και μια άλλη που παρουσιάζεται ως η βιβλιοθήκη Day.js.
Ωστόσο, και οι δύο εκδόσεις διέθεταν τον ίδιο αυθαίρετο μηχανισμό έγχυσης κώδικα JS που περιλάμβανε το serasearchtop[.]com.
Αν και ο ερευνητής δεν παρατήρησε καμία σαφή κακόβουλη δραστηριότητα, σημείωσε ότι υπάρχουν πολυάριθμες αναφορές χρηστών και αξιολογήσεις στο Web Store που υποδεικνύουν ότι οι επεκτάσεις εκτελούσαν ανακατευθύνσεις και πειρατεία αποτελεσμάτων αναζήτησης.
Παρά τις προσπάθειές του να αναφέρει τις ύποπτες επεκτάσεις στην Google, συνέχισαν να είναι διαθέσιμες στους χρήστες από το Chrom Web Store.
Νωρίτερα σήμερα, ωστόσο, η εταιρεία κυβερνοασφάλειας Avast είπε ότι ανέφερε τις επεκτάσεις στην Google αφού επιβεβαίωσε τον κακόβουλο χαρακτήρα τους και επέκτεινε τη λίστα σε 32 καταχωρήσεις. Συλλογικά, αυτές υπερηφανεύονται για 75 εκατομμύρια εγκαταστάσεις.
Avast
λέει
ότι, ενώ οι επεκτάσεις φαίνονται αβλαβείς σε ανυποψίαστους χρήστες, είναι adware που παραβιάζουν τα αποτελέσματα αναζήτησης για να εμφανίσουν συνδέσμους χορηγίας και αποτελέσματα επί πληρωμή, μερικές φορές μάλιστα εξυπηρετούν κακόβουλους συνδέσμους.
Απαντώντας σε αίτημα για σχόλιο από το BleepingComputer πριν η Avast δημοσιεύσει τα ευρήματά της, ένας εκπρόσωπος της Google είπε ότι “οι αναφερόμενες επεκτάσεις έχουν αφαιρεθεί από το Chrome Web Store”.
“Λαμβάνουμε σοβαρά υπόψη τους ισχυρισμούς ασφάλειας και απορρήτου έναντι επεκτάσεων και όταν βρίσκουμε επεκτάσεις που παραβιάζουν τις πολιτικές μας, λαμβάνουμε τα κατάλληλα μέτρα.”
“Το Chrome Web Store έχει εφαρμόσει πολιτικές για την ασφάλεια των χρηστών, τις οποίες πρέπει να τηρούν όλοι οι προγραμματιστές”, δήλωσε ο εκπρόσωπος της Google στο BleepingComputer”
Η Avast υπογραμμίζει τον σημαντικό αντίκτυπο των επεκτάσεων, οι οποίες στόχευαν δεκάδες χιλιάδες πελάτες της και ενδεχομένως εκατομμύρια σε όλο τον κόσμο.
Για τους πελάτες της, η Avast εξουδετέρωσε επιλεκτικά μόνο τα κακόβουλα στοιχεία εντός των επεκτάσεων, επιτρέποντας στις νόμιμες λειτουργίες να συνεχίσουν να λειτουργούν χωρίς διακοπή.
Ενώ τα 75 εκατομμύρια λήψεις φαίνονται ανησυχητικά, η εταιρεία υποπτεύεται ότι ο αριθμός ήταν «τεχνητά διογκωμένος». Μπορείτε να βρείτε μια πλήρη λίστα με τις κακόβουλες επεκτάσεις (ID).
Η αναφορά της Avast
.
Οι χρήστες θα πρέπει να σημειώσουν ότι η κατάργηση των επεκτάσεων από το Chrome Web Store δεν τις απενεργοποιεί ή απεγκαθιστά αυτόματα από τα προγράμματα περιήγησής τους, επομένως απαιτείται μη αυτόματη ενέργεια για την εξάλειψη του κινδύνου.
