Обнаружена угроза: 287 расширений для Chrome с 37 млн шпионили за пользователями

Специалисты в области кибербезопасности обнаружили 287 вредоносных расширений для браузера Google Chrome. Эти дополнения без ведома пользователей собирали данные о посещённых веб-сайтах и отправляли их на сторонние серверы. Количество загрузок этих расширений достигло 37,4 миллиона, что составляет около 1% всех пользователей Chrome.

Для выявления вредоносных расширений исследователи анализировали реальный сетевой трафик. Они использовали виртуализацию на основе Docker, перехватывали и мониторили весь сетевой трафик через MITM-прокси, а также открывали специально подготовленные URL-адреса разной длины. Если расширение не являлось вредоносным и лишь изменяло интерфейс браузера или управляло вкладками, объём исходящего трафика оставался неизменным независимо от длины URL. Однако, если расширение передавало полный адрес веб-страницы или его фрагменты третьим лицам, объём трафика возрастал пропорционально увеличению длины URL. Для определения степени подозрительности расширений была разработана специальная метрика. Если значение метрики превышало определённый порог, расширение классифицировалось как вредоносное и подвергалось дальнейшей проверке.

Исследование было масштабным и требовало значительных вычислительных ресурсов. На его проведение ушло около 930 процессорных дней, а анализ каждого расширения занимал в среднем около 10 минут. Результаты работы были опубликованы в открытом доступе на платформе GitHub. Авторы исследования не раскрыли все технические детали, чтобы не облегчить жизнь разработчикам вредоносных расширений.

Среди получателей несанкционированных данных были выявлены крупные аналитические компании и брокеры, а также менее известные субъекты. В отчёте упоминаются такие компании, как Similarweb, Big Star Labs (связанная с Similarweb), Curly Doggo, Offidocs, а также китайские структуры и небольшие брокеры.

Следует подчеркнуть, что проблема выходит за рамки простого сбора «телеметрических данных». В URL-адресах могут содержаться персональные данные, ссылки для сброса паролей, названия внутренних документов и другая конфиденциальная информация, которая может быть использована для целевых кибератак.

Пользователям рекомендуется проверить установленные расширения и удалить те, которыми они не пользуются или о которых не располагают достаточной информацией. Также стоит обратить внимание на наличие разрешения «Читать и изменять данные на всех посещаемых сайтах», которое может предоставлять расширенные возможности для перехвата URL-адресов.