Видаліть негайно: дослідник знайшов 35 розширень для Chrome, які містять прихований код стеження

Небезпечні розширення

Дослідник з компанії Secure Annex, Джон Такнер, виявив 58 розширень для Chrome, які використовують ризиковані механізми збору даних. Ці доповнення загалом встановили вже понад 6 мільйонів користувачів. За словами Такнера, щонайменше 35 із них містять замаскований код, здатний стежити за поведінкою користувача в браузері, отримувати доступ до cookies, включно з даними авторизації, а також потенційно виконувати віддалені сценарії на сторінках, повідомляє 24 Канал з посиланням на BleepingComputer.

Особливістю виявлених розширень є те, що вони приховані – їх неможливо знайти через пошук у Chrome Web Store або за допомогою пошукових систем. Їх можна встановити лише за прямим посиланням. Формально такі розширення можуть бути внутрішніми інструментами компаній або перебувати на етапі розробки, проте зловмисники часто зловживають цією механікою. За словами дослідника, шкідливі розширення можуть поширюватися через агресивну рекламу або сумнівні сайти.

Початкову підозру викликало розширення з назвою Fire Shield Extension Protection. Його код був заплутаний, а вбудовані API-запити передавали зібрані з браузера дані на сервер через домен unknow.com. Подальший аналіз дозволив виявити ще кілька розширень, пов’язаних із цим доменом. Частина з них нібито надає послуги блокування реклами чи захисту конфіденційності, але при цьому вони мають занадто широкі дозволи, які дозволяють їм:

• Зчитувати cookies, зокрема авторизаційні токени.
• Відстежувати онлайн-активність користувача.
• Змінювати пошукові системи та їхні результати видачі.
• Вбудовувати та запускати скрипти на сайтах.
• Віддалено активувати додаткові функції стеження.

Хоча Такнер наголосив, що не виявив крадіжок паролів чи cookies, уже сам факт наявності подібного функціоналу, заплутаної структури коду та прихованих механізмів викликає занепокоєння. За його словами, в деяких з розширень також є можливість складати список найбільш відвідуваних сайтів, відкривати й закривати вкладки, запускати інші підозрілі функції у спеціальному "розширеному режимі".

Найбільше насторожує те, що розширення маскуються під корисні інструменти, які начебто захищають користувачів від небезпечного софту.

17 квітня до початкового списку з 35 шкідливих доповнень дослідник додав ще 23, довівши загальну кількість до 58. Частина з них, зауважує він, досі доступна у Chrome Web Store, хоча деякі вже були видалені після публікації попереднього звіту.

Наразі список виглядає так:

• Fire Shield Secure Search
• Fire Shield Chrome Safety.
• Safe Search for Chrome.
• Fire Shield Extension Protection.
• Browser Checkup for Chrome by Doctor.
• Protecto for Chrome.
• Unbiased Search by Protecto.
• Securify Your Browser.
• Web Privacy Assistant.
• Securify Kid Protection.
• Bing Search by Securify.
• Browse Securely for Chrome.
• Better Browse by SecurySearch.
• Check My Permissions for Chrome.
• Website Safety for Chrome.
• MultiSearch for Chrome.
• Global search for Chrome.
• Map Search for Chrome.
• Watch Tower Overview.
• Incognito Shield for Chrome.
• In Site Search for Chrome.
• Privacy Guard for Chrome.
• Yahoo Search by Ghost.
• Private Search for Chrome.
• Total Safety for Chrome.
• Data Shield for Chrome.
• Browser WatchDog for Chrome.
• Incognito Search for Chrome.
• Web Results for Chrome.
• Cuponomia - Coupon and Cashback.
• Securify for Chrome.
• Securify Advanced Web Protection.
• News Search for Chrome.
• SecuryBrowse for Chrome.
• Browse Securely for Chrome.
• Choose Your Chrome Tools.
• Securify Viewpoint Search.
• Quick Manuals for Chrome.
• Search Images on Chrome.
• Givero Search for Chrome.
• Secured Connection by SecuryBrowse.
• AI Browser Manager.
• Protected Browsing on Chrome.
• ChatGPT Search for Chrome.
• Games Search for Chrome.
• Address Checker for Chrome.
• Recipe Search for Chrome.
• Search Safely by SecurySearch.
• SecurySearch for Chrome.
• Website Orientations.
• Protecto Whois Search.
• Productive Search for Chrome.
• Secure Search for Chrome.
• Yahoo SecurySearch.
• ProtectMyInfo for Chrome.
• Secured Connection by SecuryBrowse.
• Advanced Search for Chrome.
• New Tab for Chrome.

Такнер радить користувачам негайно видалити будь-яке з підозрілих розширень, якщо воно встановлене, та з міркувань безпеки змінити паролі до своїх облікових записів. Крім того, варто перевірити, які пристрої підключені зараз до ваших акантів на сервісах.

Google каже, що знає про ситуацію та проводить власне розслідування. Розробники розширень наразі не відповіли на запити журналістів BleepingComputer щодо заплутаного коду.