В магазине Chrome Web Store обнаружены десятки дополнений, чьё поведение вызывает сомнения, причём общее число их установок превысило 4 млн. Об этом рассказал независимый аналитик Джон Такнер, изучивший работу расширений, которые не только доступны по прямым ссылкам, но и в ряде случаев получили статус «Рекомендовано» от самой Google.
При внешней безобидности они оснащены функционалом, способным следить за пользователями и вмешиваться в работу браузера.
Джон Такнер отметил, что его внимание привлекли 35 расширений, демонстрирующих ряд повторяющихся черт — от идентичных блоков кода и обращения к одинаковым интернет-ресурсам до совпадающих запросов на доступ к чувствительным компонентам браузера.
Эти дополнения требуют разрешения на чтение cookies, управление вкладками, перехват веб-запросов, внедрение JavaScript на каждую посещённую страницу и хранение собственных конфигураций внутри браузера.
Дополнительно применяется система внутренних событий, которая имитирует запланированную активность — к примеру, регулярную отправку сигналов на удалённые адреса.
Такие права, по словам Джона Такнера, открывают почти неограниченные возможности для сбора информации и мониторинга поведения пользователей. Причём назначение многих расширений явно не предполагает столь широкий уровень доступа.
Один из примеров — дополнение под названием «BrowseSecurely», которое, согласно описанию, должно защищать от вредоносных сайтов. При этом оно имеет право на доступ к cookies, что вызывает вопросы о его реальном предназначении.
Исследователь также указал, что большинство подозрительных расширений имеют сильно обфусцированный код. Это затрудняет анализ и позволяет разработчикам прятать вредоносные действия за сложными структурами.
В случае с расширением «Fire Shield Extension Protection» выяснилось, что оно взаимодействует с внешним сервером и способно менять поведение — например, начинать отслеживать действия пользователя, если в браузере появляется другое определённое расширение. Фиксировался и сбор информации о посещённых сайтах, предыдущих визитах, а также о разрешении экрана.
Некоторые из этих дополнений не видны в обычном поиске по магазину и доступны только при переходе по прямой ссылке. При этом каждое набрало в среднем по 114 тыс. установок. Особенно удивительным показался факт, что десять из этих расширений получили отметку «Featured». Этот статус выдаётся Google за качество исполнения, удобство интерфейса и подтверждённую личность разработчика, что должно гарантировать доверие.
Такая ситуация, по мнению Джона Такнера, ставит под сомнение качество процедуры проверки и критерии, по которым принимается решение о выдаче подобных меток.
Наиболее тревожным моментом в своём исследовании он назвал постоянное появление домена «unknow[.]com» — этот адрес был замечен в подавляющем большинстве подозрительных дополнений. Причём даже при пристальном наблюдении за их активностью не всегда удаётся понять, какие именно данные отправляются. Сама структура работы, постоянные обращения к внешним серверам, динамическая настройка поведения и попытки скрыться от анализа указывают на признаки шпионского ПО или программ для кражи данных.
Джон Такнер признал, что ему не удалось зафиксировать прямую кражу логинов и паролей. Он подчеркнул, что одна только архитектура кода и способность изменять поведение по сигналу извне уже представляют собой значительную угрозу. По его словам, любое расширение с подобными возможностями может стать инструментом слежения в любой момент.
Ещё по теме:
- Netflix выпустит драму о захвате заложников в Apple Store
- Освобождение Apple от 125% тарифа — временное, заявил Минторг США
- Тим Кук делает ставку на Apple Glass
