Ці розширення Google виконують підозрілі дії на більш ніж 4 млн пристроїв — як їх виявити

Медіа Ars Technika пише, що дослідник виявив десятки шкідливих розширень у Chrome на 4 мільйонах пристроїв. Розповідаємо як їх виявити та чи можна знешкодити.

Що сталося

Дослідник Джон Такнер та засновник компанії з аналізу розширень браузера Secure Annex, натрапив на кластер розширень, який свідчить, що Google розміщує десятки розширень у своєму веб-магазині Chrome. Ці розширення у свою чергу виконують підозрілі дії на більш ніж 4 млн пристроїв, на яких вони встановлені. Ймовірно, що розробники доклали зусиль, аби приховати їх. Небезпечні розширення можна знайти у цій табличці.

Розширення, яких наразі налічується принаймні 35 використовують однакові шаблони коду, підключаються до одних і тих самих серверів,  вимагають схожого списку конфіденційних системних дозволів, дозволяють взаємодію з веб-трафіком на всіх відвіданих URL-адресах, доступ до файлів cookie та керують вкладками браузера. Серед популярних дозволів такі:

• Вкладки — керує вікнами браузера та взаємодіє з ними.
• Файли cookie — дозволяє встановити і отримати доступ до збережених файлів cookie браузера на основі файлів cookie або доменних імен (наприклад, «Авторизація» або «всі файли cookie для GitHub.com»).
• WebRequest — перехоплює та змінює веб-запити, які робить браузер.
• Зберігання — постійно зберігає невеликі обсяги інформації у браузері (тут ці розширення зберігають свою конфігурацію команд і керування).
• Сценарії — можливість впроваджувати новий JavaScript у веб-сторінки та маніпулювати DOM.
• Сигнали — використовує внутрішню служба обміну повідомленнями для ініціювання подій.
• <all_urls> — дозволяє розширенню функціонально взаємодіяти з усією діяльністю веб-переглядача.

Такі дозволи дають розширенням можливість робити всілякі потенційно підозрілі або негативні дії, і тому їх слід розумно надавати лише надійним розширенням, які не можуть виконувати основні функції без них.

Джон Такнер вказав, що єдиний дозвіл, який вимагає будь-яка з 35 програм, це керування. Розширення мають інші сумнівні чи підозрілі подібності. Значна частина коду в кожному з них сильно заплутана, а спосіб яким створений код лише ускладнює процес аналізу та розуміння того, як поводиться розширення.

Чому це важливо

Ці 35 прихованих шкідливих розширень для Chrome не відображаються у веб-магазині, але при цьому загалом мають 4 мільйони встановлень, що викликає питання щодо способу їх поширення. Кожен, хто встановив одне з цих розширень, має негайно видалити його. 

Десять із цих розширень навіть мають позначку «Вибране» чи «Рекомендовані» від Google, що свідчить про їхню перевірку, попри виявлену шкідливу діяльність. Одним із прикладів є розширення Fire Shield Extension Protection, яке, попри свою заявлену функцію захисту, містить код, що взаємодіє з підозрілими доменами, які фігурують в більшості виявлених шкідливих програм.

Дослідник Такнер зіткнувся зі значними труднощами при спробі проаналізувати поведінку підозрілих розширень Chrome через складний код та навмисні кроки розробника для приховування їхньої діяльності. Розширення Fire Shield на лабораторному пристрої не відображало жодних параметрів при натисканні на його іконку та відкривало лише порожню веб-сторінку. Аналіз фонового процесу в інструментах розробника Chrome показав підключення до URL-адреси fireshieldit.com та фіксацію події «browser_action_clicked», але подальші спроби відстежити дії розширення виявилися безуспішними.

Змінивши тактику, Такнер використав конфігураційний файл іншого підозрілого розширення, Browse Securely for Chrome (пізніше Secured Connection by Security Browse), завантажений на GitHub користувачем, який вважав його шкідливим. Введення унікального ідентифікатора цього розширення в інсталяцію Fire Shield призвело до того, що останнє почало надсилати на сервер дані про поведінку користувача та інформацію:

• про відвідані веб-сайти;
• попередні сторінки;
• розмір і деталі екрана;

Хоча прямих доказів викрадення облікових даних не було виявлено, можливість віддаленого керування конфігурацією та наявні в коді розширення можливості змусили дослідника дійти висновку про наявність шпигунського програмного забезпечення або викрадача інформації в усіх цих розширеннях.

Це відкриття свідчить про важливість усвідомленого встановлення розширень для браузерів. Встановлювати їх слід лише за наявності потреби, попередньо вивчивши відгуки користувачів та репутацію розробника. Google наразі не відповів на запитання про те, чи проводить компанія розслідування та яку перевірку вона виконала, щоб надати деяким із цих додатків статус «Рекомендовані».