287 розширень Chrome збирали історію переглядів мільйонів користувачів без їхньої згоди. Про це повідомляє Cyber Security News. Розповідаємо деталі.
Що сталося
Дослідники виявили масштабну операцію зі збору даних через розширення для Google Chrome. Йдеться про 287 плагінів, які таємно передавали історію переглядів користувачів на віддалені сервери. Загалом — близько 37,4 млн людей по всьому світу.
Схему викрили за допомогою автоматизованої системи сканування: вона запускала розширення в ізольованих середовищах Docker і відстежувала їхній вихідний трафік через проксі-сервер. Один із ключових маркерів — кореляція між обсягом переданих даних і довжиною URL-адрес.
Розширення маскувалися під блокатори реклами, SEO-інструменти, сервіси продуктивності та навіть рішення для безпеки. Серед згаданих — Poper Blocker, Stylish, BlockSite, а також розширення вебаналітичної компанії Similarweb і пов’язані з нею структури на кшталт Big Star Labs. У списку також фігурують Curly Doggo, Offidocs і низка китайських компаній. Навіть Avast Online Security із мільйонами встановлень був позначений як такий, що збирає дані про перегляди.
Щоб приховати активність, плагіни використовували обфускацію — навмисне заплутування коду. Деякі застосовували прості схеми кодування на кшталт ROT47, інші — повноцінне шифрування AES-256 із використанням RSA-ключів. Дані зашифровувалися перед відправленням, що ускладнювало аналіз трафіку.
Чому це цікаво
URL-адреси часто містять ідентифікатори користувачів, внутрішні посилання компаній, доступи до SaaS-панелей, інструменти адміністрування. Якщо співробітник встановлює розширення, воно може передавати структуру внутрішньої інфраструктури компанії.
У Chrome Web Store наразі доступно близько 240 000 розширень, тому ручна перевірка практично неможлива. Експерти радять видалити підозрілі плагіни, уважно перевіряти запити на доступ і встановлювати переважно розширення з відкритим кодом.