Mulți promit ironic să -l scaneze Chrome pentru extensii de browsuri schițate
Pe scurt: Un cercetător de securitate a descoperit recent aproape trei duzini de extensii ale magazinului web crom, care prezintă un comportament suspect. Mulți se prezintă ca asistenți de căutare, în timp ce alții pozează ca blocante de anunțuri, instrumente de securitate sau scanere de extensie – toate legate în mod misterios de un singur domeniu neutilizat.
John Tucker, fondatorul firmei de securitate a browserului Secure Anex, a descoperit extensiile suspecte în timp ce a asistat un client care a instalat unul sau mai multe pentru monitorizarea securității. Primul steag roșu: două dintre cele 132 de extensii pe care le -a analizat au fost nelistate, ceea ce înseamnă că nu apar în căutările web sau în magazinul web Chrome. Utilizatorii pot descărca aceste instrumente doar printr -o adresă URL directă. Extensiile nelistate nu sunt atât de neobișnuite. Întreprinderile le folosesc uneori pentru a limita accesul public la instrumente interne.
Cu toate acestea, actorii rău intenționați folosesc adesea extensii nelistate pentru a exploata utilizatorii, păstrându -i ascunși și îngreunând detectarea Google. După ce Tucker a început să analizeze cele două extensii suspecte, a descoperit încă 33. Mulți se conectează la aceleași servere, folosesc modele de cod identice și solicită aceleași permisiuni.
Aplicațiile solicită utilizatorilor consimțământul pentru a accesa date sensibile, inclusiv filele browserului și ferestrele, cookie -urile, stocarea, scripturile, alarmele și API -urile de gestionare. Acest nivel de acces este neobișnuit de mare, ceea ce face ușor pentru actorii răi să exploateze sistemul utilizatorului în diferite scopuri rău intenționate.
„În acest moment, aceste informații ar trebui să fie suficiente pentru ca orice organizație să -și scoată în mod rezonabil acest lucru din mediul lor, deoarece prezintă un risc inutil”, a scris Tucker în blogul său joi. „Singura permisiune pe care o necesită oricare dintre cele 35 de aplicații este managementul”, a adăugat el într -un e -mail către ARS Technica.
În plus față de numărul suspect de permisiuni pe care le solicită aceste aplicații, programarea lor este în egală măsură. Tucker a constatat că aplicațiile aveau un cod puternic obfuscat. Un dezvoltator și -ar programa software -ul în acest mod pentru a îngreuna ceilalți să examineze și să înțeleagă acțiunile sale.
Colectiv, utilizatorii au instalat cele 35 de aplicații de peste 4 milioane de ori. Deși nu este clar cum extensiile nelistate au atras atâta atenție fără să apară în căutări, Tucker observă că 10 a purtat eticheta „prezentată” Google – o desemnare de obicei oferită dezvoltatorilor Google a verificat și are încredere. Nu a explicat modul în care acest lucru ar fi influențat distribuția lor.
Tucker nu a găsit nicio dovadă directă că extensiile exfiltrează datele – dar asta nu le exclude. Un instrument numit Protecția privind extensia scutului de foc susține ironic să scaneze crom pentru pluginuri rău intenționate sau suspecte. După ce a analizat -o, Tucker a descoperit un fișier JavaScript care poate încărca date și descărcare cod și instrucțiuni din mai multe domenii umbrite, inclusiv unul numit Unknow.com.
Acest domeniu iese în evidență, deoarece toate cele 35 de aplicații îl fac referire în daemons de serviciu de fundal, în ciuda faptului că nu are prezență web vizibilă sau o funcție clară. Înregistrările Whois îl listează ca fiind „disponibil” și „de vânzare”, făcând -o deosebit de bizară, încât atât de multe extensii ar indica spre ea.
„Hilarios, domeniul nu are nicio relevanță în cod, dar (este) incredibil de util pentru conectarea tuturor extensiilor împreună!” Spuse Tucker.
Secure anexă a publicat o listă cuprinzătoare de ID -uri de extensie și Permhashes pe blogul său și într -o foaie de calcul accesibilă public. O listă mai simplă de nume de extensie apare în imaginea de mai sus. Dacă aveți oricare dintre acestea instalate, Tucker recomandă eliminarea imediat – riscurile de securitate depășesc cu mult orice beneficiu potențial.
