Chrome Extensions: Hidden Spyware Risks Uncovered

Огляд

Нещодавнє розслідування виявило групу з принаймні 35 підозрілих розширень для Chrome, які були встановлені на понад 4 мільйонах пристроїв. Незважаючи на отримання довірчого штампа ‘Featured’ від Google, ці розширення демонструють сумнівну поведінку. Відомий фахівець з кібербезпеки Джон Такнер з Secure Annex зазначив, що код цих розширень серйозно замаскований, і вони вимагають низку інвазивних дозволів, здатних використовуватися для збору даних та віддаленого контролю активності браузера. Це відкриття викликає серйозні занепокоєння щодо процесу перевірки у Chrome Web Store та його ширших наслідків для конфіденційності користувачів і корпоративної кібербезпеки.

Технічні деталі розширень

Ці розширення мають кілька тривожних спільних рис у своєму дизайні та реалізації. Аналіз показує, що вони постійно запитують складний набір дозволів, які значно перевищують вимоги легітимних розширень:

• Вкладки: Керування та взаємодія з вікнами браузера, що дозволяє розширенню маніпулювати кількома активними сесіями.
• Кукі: Встановлення та доступ до збережених кукі браузера, включаючи ті, що пов’язані з аутентифікацією та управлінням сесіями на чутливих веб-сайтах.
• WebRequest: Перехоплення та модифікація веб-запитів, що потенційно змінює спосіб, яким браузер спілкується з веб-сайтами.
• Сховище: Постійне зберігання конфігураційних даних, що дозволяє отримувати віддалені команди через оновлені конфігурації.
• Скриптування: Впровадження динамічного JavaScript на кожній відвідуваній сторінці, що надає можливість модифікувати вміст сторінки на льоту.
• Сигнали: Виклик подій за допомогою внутрішніх служб обміну повідомленнями, подібно до запланованих завдань.
• Доступ до всіх_url: Надмірно широкі дозволи, що надають розширенню доступ до всієї активності перегляду.

Комбінація цих дозволів означає, що теоретично розширення може відстежувати поведінку перегляду, збирати кукі та навіть впроваджувати шкідливий код для витоку даних.

Аналіз експертів з безпеки та наслідки

Аналіз Такнера виявив більше, ніж просто надмірні дозволи. Послідовність у патернах коду і зв’язок з тими ж підозрілими серверами свідчать про те, що ці розширення можуть бути частиною більшої стратегії щодо вбудовування шпигунського програмного забезпечення або функцій для збору інформації в екосистему браузера. Одне з розширень, захищене Fire Shield Extension Protection, іронічно рекламується як засіб безпеки, не лише перевіряє підозрілі активності у браузері, але й посилається на сумнівні домени, такі як unknow.com, що потенційно може виступати як кінцева точка командного та контрольного (C2) центру.

У контрольних лабораторних умовах активація різних функцій розширення виявила таку поведінку, як відкриття порожніх сторінок і безшумна передача даних користувача назад на віддалені сервери. Хоча під час початкових тестів не було помічено явного витоку облікових даних, рівень маскування, можливість віддаленої конфігурації та широкий спектр дозволів вказують на значний ризик для безпеки.

Глибоке розслідування: маскування коду та функції віддаленого контролю

Одним із найяскравіших аспектів цих розширень є навмисне використання маскування коду. Сховавши критично важливі алгоритми та структури команд під шарами заплутаного JavaScript, розробники зробили надзвичайно складним для незалежних аналітиків визначити справжню мету розширень. Цей вибір дизайну є тривожним сигналом, який зазвичай асоціюється з шкідливим програмним забезпеченням та шпигунським програмним забезпеченням. Додатково, їхня здатність зберігати конфігураційні дані локально через API сховища браузера дозволяє зловмиснику впроваджувати оновлення, які можуть змінити поведінку розширень після встановлення. Цей динамічний механізм контролю робить ці інструменти особливо небезпечними – розширення, яке спочатку виглядає безневинно, може згодом перетворитися на агента збору даних.

Наслідки для підприємств та кінцевих користувачів

Це відкриття має далекосяжні наслідки як для окремих користувачів, так і для великих організацій. Підприємства, які покладаються на керовані розгортання браузера, можуть ненавмисно піддатися значним ризикам, якщо ці розширення залишаться без контролю. Потенціал витоку даних, втручання в захищені сесії та несанкціонований доступ до чутливої інформації підкреслює важливість ретельної перевірки та моніторингу розширень. Користувачам, у свою чергу, радять бути вкрай обережними при встановленні неперевірених розширень, навіть якщо вони мають довірчий значок, такий як ‘Featured’.

Відповідь розробників та стратегії пом’якшення

Досі Google не надав чітких відповідей щодо того, як ці розширення пройшли їхні внутрішні перевірки безпеки, особливо ті, що отримали позначку Featured. Спроби зв’язатися з розробниками через політику розширень не дали суттєвих відповідей. У світлі цих відкриттів, фахівці з кібербезпеки рекомендують організаціям впроваджувати надійні рішення для моніторингу кінцевих точок, які можуть виявляти незвичайну активність у браузері. Додатково, користувачі повинні регулярно перевіряти свої встановлені розширення, оглядати відгуки користувачів та покладатися на надійні джерела перед установкою нових інструментів з будь-якого магазину розширень для браузера.

Висновки та рекомендації

Хоча документально підтверджений випадок крадіжки облікових даних не був зафіксований, комбінація можливостей віддаленого контролю, широких дозволів браузера та складних практик маскування свідчить про те, що ці розширення призначені для функціонування як платформи шпигунського програмного забезпечення або збору інформації. Користувачів та IT-адміністраторів закликають негайно видалити будь-які з цих розширень і запровадити жорсткіші практики управління програмами. Цей інцидент також служить сигналом для технологічних компаній: посилені процеси перевірки та прозора комунікація з дослідниками безпеки є критично важливими для захисту користувачів від дедалі складніших загроз.

Перспективи

З продовженням еволюції кіберзагроз, подальші дослідження та співпраця між експертами з безпеки та розробниками браузерів є надзвичайно важливими. Існує термінова потреба оновити процес перевірки розширень та впровадити більш сучасні, автоматизовані інструменти аналізу для виявлення загроз у реальному часі. Останні досягнення у виявленні аномалій на базі штучного інтелекту можуть незабаром стати життєздатним рішенням для виявлення та пом’якшення цих ризиків до того, як вони стануть поширеними.