Розширення для браузера, що перетворюють пристрої на проксі для веб-скрапінгу
Зростання непередбачуваних ботів
Дослідник безпеки Джон Такнер з SecurityAnnex виявив мережу з 245 розширень браузера, доступних для Chrome, Firefox та Edge, які в сукупності були завантажені майже 909,000 разів. Після встановлення ці розширення обходять вбудовані засоби захисту та потайки перетворюють браузери користувачів на вузли для платного сервісу збору даних з веб-сайтів.
Технічний механізм бібліотеки MellowTel-js
В основі цієї схеми лежить MellowTel-js, бібліотека JavaScript з відкритим вихідним кодом, що призначена для монетизації розширень шляхом спільного використання пропускної здатності користувачів. Основні технічні деталі включають:
- Дозволи в маніфесті: Бібліотека запитує
declarativeNetRequest
,webRequest
таwebRequestBlocking
уmanifest.json
. Це підвищує привілеї над звичайними скриптами контенту, що дозволяє змінювати HTTP-заголовки на льоту. - Видалення CSP та X-Frame-Options: Динамічно інжектовані правила видаляють заголовки
Content-Security-Policy
таX-Frame-Options
з відповідей сервера, обходячи обмеження iframe та засоби захисту від міжсайтового скриптингу. - Контрольний канал WebSocket: Після активації кожне розширення відкриває постійне з’єднання WebSocket з сервером командного управління, розміщеним на AWS. Через цей канал сервер надсилає команди для інжекції
, що містять довільні цільові URL-адреси.
- Паралельний збір даних: Комерційний API-сервіс, пов’язаний з MellowTel, стверджує, що може обробляти до 100,000 запитів на хвилину. Збір даних клієнтів розподіляється між мільйонами активних браузерів, що забезпечує високу пропускну здатність за низькою вартістю.
Вплив на безпеку, конфіденційність та продуктивність
Такий підхід не лише порушує згоду користувачів, але й погіршує безпеку та продуктивність веб-серфінгу:
- Атака через міжсайтові вразливості: Вимкнення стандартних заголовків суттєво розширює поверхню атаки, включаючи клікджекинг, відображені та збережені XSS, а також експлойти змішаного вмісту.
- Крадіжка пропускної здатності: Користувачі несвідомо виділяють свою пропускну здатність для сторонніх навантажень збору даних, іноді перевищуючи 100 МБ прихованого трафіку на день.
- Витрати ресурсів браузера: Відображення невидимих iframe та обробка JSON-команд з каналу WebSocket збільшують використання ЦП до 15%, згідно з лабораторними випробуваннями, проведеними SecurityAnnex.
- Ризик витоку даних: Чутлива інформація з авторизованих сесій, така як куки та токени localStorage, може бути піддана ризику, якщо URL-адреси для збору даних містять трекінгові або фішингові експлойти.
Стратегії виявлення та пом’якшення
Щоб зупинити цю приховану мережу, команди безпеки та постачальники браузерів можуть вжити кілька контрзаходів:
- Забезпечити дотримання Manifest V3: Manifest V3 для Chrome забороняє блокування webRequest на користь наборів правил
declarativeNetRequest
. Хоча він все ще дозволяє зміну заголовків, він обмежує динамічне вставлення правил. - Контроль політики для підприємств: Адміністратори можуть внести певні розширення до білого списку через групову політику (Windows) або профілі MDM (macOS) та блокувати всі інші, ефективно запобігаючи завантаженню недобросовісних бібліотек.
- Моніторинг в реальному часі: Пристрої мережевої безпеки (наприклад, Cloudflare Gateway, Zscaler) можуть перевіряти вихідні патерни трафіку WebSocket на наявність з’єднань з відомими IP-адресами MellowTel на порту 443.
- Перевірка цілісності заголовків: Впровадити цілісність підресурсів (SRI) та строгі директиви
Content-Security-Policy: require-trusted-types-for 'script'
для виявлення неочікуваних видалень заголовків.
Думки експертів
“Це класичний приклад зловживання ланцюгом постачання в екосистемі розширень браузера,” зазначає Джейн Лю, старший архітектор веб-безпеки в OWASP. “Дозволяючи стороннім бібліотекам змінювати маніфести розширень, ми створюємо величезний розрив у довірі.”
“Хмарні провайдери змагаються, щоб запропонувати рішення проти збору даних, але найслабшою ланкою часто залишається пристрій кінцевого користувача,” додає Олексій Петров, директор з продукції в Cloudflare. “Нам потрібні кращі засоби контролю на рівні браузера.”
Регуляторні та правові наслідки
Згідно з Актом про цифрові послуги (DSA) та GDPR ЄС, оператори мереж збору даних можуть зіткнутися з великими штрафами за несанкціоноване збирання даних. Тим часом, законодавці США розглядають поправки до Закону про комп’ютерні шахрайства та зловживання (CFAA), які можуть класифікувати приховані атаки iframe як злочини.
Історичний прецедент та перспективи
Цей інцидент нагадує скандал Nacho Analytics 2019 року, коли 4 мільйони браузерів без відома користувачів були залучені до збору приватних даних. Оскільки ринок розширень браузера розширюється — очікується, що до 2027 року він досягне $X мільярдів — зацікавлені сторони повинні знайти баланс між інноваціями та надійною перевіркою безпеки.
Висновок
Сага про MellowTel-js підкреслює необхідність:
- Суворіших процесів відбору в магазинах розширень
- Покращених засобів захисту в браузерах
- Чіткішої прозорості для кінцевих користувачів щодо спільного використання пропускної здатності
Поки ці заходи не будуть широко впроваджені, кожне встановлення стороннього розширення несе ризик перетворення вашого браузера на непередбачуваного бота, підживленого чужим механізмом збору даних.