Новости Десятки вредоносных расширений в Chrome Web Store

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.781
Репутация
11.595
Реакции
61.695
RUB
50
Рассказываем про несколько десятков вредоносных расширений с суммарными 87 миллионами загрузок в Google Chrome Web Store.

Не так давно в Chrome Web Store — официальном магазине расширений для браузера Google Chrome — были обнаружены несколько десятков вредоносных плагинов. Наиболее популярное из этих расширений имело более 9 миллионов загрузок, а суммарно все эти плагины были загружены около 87 миллионов раз. Рассказываем, что это за расширения и чем они опасны.

Десятки вредоносных расширений для Google Chrome

Несколько десятков вредоносных расширений в Chrome Web Store​

Все началось с того, что исследователь кибербезопасности Владимир Палант в магазине Chrome Web Store расширение под названием PDF Toolbox, содержащее подозрительный код. На первый взгляд это был вполне респектабельный плагин для конвертации офисных документов и для проведения ряда других несложных операций с файлами формата PDF.

У PDF Toolbox была внушительная пользовательская база и хорошие оценки: около двух миллионов загрузок и средняя оценка 4,2. Однако внутри этого расширения обнаружилась интересная «дополнительная функциональность»: плагин обращался к сайту с адресом serasearchtop[.]com и подгружал с него произвольный код на все страницы, которые просматривал пользователь.

Далее исследователь поискал в Chrome Web Store другие расширения, обращающиеся к данному серверу, и нашел пару десятков родственных PDF Toolbox плагинов с суммарным количеством загрузок 55 миллионов.

Наконец, располагая большим количеством образцов вредоносных расширений, он провел еще более тщательный поиск по официальному магазину Google и с совершенно разнообразной основной функциональностью. Суммарное количество их загрузок составило уже 87 миллионов. Наиболее популярным из найденных плагинов был Autoskip for Youtube. Его скачали 9 миллионов раз.

Расширения были загружены в Chrome Web Store в 2021 и 2022 годах, то есть на момент исследования находились в официальном магазине от полугода и более. Причем среди отзывов к некоторым из них обнаружились жалобы бдительных пользователей, которые рассказывали, что эти расширения подменяют адреса в поисковой выдаче на рекламные. Как несложно понять, эти жалобы были оставлены модераторами Chrome Web Store без внимания.

После публикации исследования Паланта, а также на ту же тему от другой группы экспертов сотрудники Google все же удалили опасные расширения из официального магазина. Но, как видите, для того чтобы привлечь их внимание к проблеме, потребовался авторитет нескольких известных специалистов. Кстати, очень похожим образом обстоят дела и с Google Play — жалобы обычных пользователей на вредоносные приложения обычно .

Почему вредоносные браузерные расширения особенно опасны​

Если вкратце, то с браузерными расширениями есть три серьезные проблемы. Первая проблема — это тот уровень доступа к пользовательским данным, который они имеют. По сути, чтобы нормально работать — то есть в принципе быть полезным — любому плагину обычно нужно всего одно разрешение. Но зато какое! Это разрешение называется Просмотр и изменение ваших данных на всех сайтах.

Да-да, это означает именно то, что написано. Браузерные плагины, как правило, запрашивают разрешение на просмотр всех ваших данных на всех сайтах и изменение всех данных на всех сайтах. То есть браузерное расширение видит совершенно все ваши действия на тех сайтах, которые вы открываете, и может произвольным образом менять содержимое отображаемой страницы.

Вот какие возможности это потенциально открывает для создателей расширений:
  • Следить за всеми действиями пользователя, чтобы собирать и продавать информацию о них.
  • Воровать данные карт или логины и пароли от аккаунтов.
  • Вставлять на страницы рекламу.
  • Подменять ссылки в поисковой выдаче (как это и было в описанном выше случае).
  • Подменять домашнюю страницу браузера собственной, с рекламными ссылками.
Кстати, плагина могут меняться с течением времени — в зависимости от текущих целей его владельцев. Да и сами владельцы — величина не постоянная: бывали случаи, когда вредоносная функциональность появлялась у ранее совершенно безопасного расширения после того, как его создатели продавали плагин новым хозяевам.

Вторая проблема: пользователи не так уж задумываются об опасности браузерных расширений, охотно устанавливают их пачками и беззаботно выдают им разрешение на просмотр и изменение любых данных в браузере. Ну а что им остается? Ведь если не дать это разрешение, то плагин просто не будет работать.
В теории следить за безопасностью расширений должны модераторы магазинов, в которых эти плагины размещаются.

Но — третья проблема — как вы можете понять из приведенной выше истории, они делают это не особенно тщательно. В итоге вредоносные расширения десятками пролезают даже в официальный Chrome Web Store. И могут годами оставаться в магазинах, несмотря на жалобы пользователей в отзывах.

Что делать пользователям, установившим вредоносное расширение​

Необходимо также иметь в виду, что изгнание плагина из магазина совсем не означает, что оно будет автоматически удалено с устройств всех установивших его пользователей. Поэтому стоит проверить, не установлено ли у вас одно из вредоносных расширений.

Если вы обнаружите у себя плагин из приведенного ниже списка, следует его сразу удалить и найти ему безопасную замену:
  • Autoskip for Youtube
  • Soundboost
  • Crystal Ad block
  • Brisk VPN
  • Clipboard Helper
  • Maxi Refresher
  • Quick Translation
  • Easyview Reader view
  • PDF toolbox
  • Epsilon Ad blocker
  • Craft Cursors
  • Alfablocker ad blocker
  • Zoom Plus
  • Base Image Downloader
  • Clickish fun cursors
  • Cursor-A custom cursor
  • Amazing Dark Mode
  • Maximum Color Changer for Youtube
  • Awesome Auto Refresh
  • Venus Adblock
  • Adblock Dragon
  • Readl Reader mode
  • Volume Frenzy
  • Image download center
  • Font Customizer
  • Easy Undo Closed Tabs
  • Screence screen recorder
  • OneCleaner
  • Repeat button
  • Leap Video Downloader
  • Tap Image Downloader
  • Qspeed Video Speed Controller
  • HyperVolume
  • Light picture-in-picture
Это список был составлен уже упомянутым нами Владимиром Палантом. Он же отмечает, что перечень вредоносных плагинов может быть неполным. Поэтому стоит с осторожностью относиться и к другим разрешениям.

Как защититься от вредоносных браузерных расширений​

Теперь дадим несколько советов на перспективу. Данная история отлично показывает, что не стоит безоговорочно рассчитывать на бдительность модераторов площадок, откуда вы загружаете расширения для своих браузеров. Лучше принять некоторые меры предосторожности самостоятельно.

Вот как можно обезопасить себя от вредоносных плагинов:
  • Не устанавливайте слишком много браузерных расширений. Чем их меньше — тем безопаснее.
  • Перед установкой расширения почитайте отзывы о нем. Конечно, это не гарантия безопасности, но в некоторых случаях поможет выявить вредоносные плагины.
  • Время от времени просматривайте список установленных расширений и удаляйте те, которыми не пользуетесь.
  • Используйте надежную защиту на всех ваших устройствах.
 
Не так давно в Chrome Web Store, официальном магазине расширений для браузера Google Chrome, было обнаружено несколько десятков вредоносных расширений с общим числом загрузок в 87 миллионов раз. Одно из наиболее популярных расширений, называлось PDF Toolbox и имело более 9 миллионов загрузок.

Внешне PDF Toolbox выглядел как обычное расширение для конвертации офисных документов и работы с файлами PDF. Однако, оно обращалось к подозрительному сайту и подгружал на все просматриваемые страницы произвольный код. Данный исследователь также нашел другие расширения, обращавшиеся к тому же серверу, и выявил 34 зараженных расширения с общим числом загрузок в 87 миллионов раз. Наиболее популярным расширением из этого списка был Autoskip for Youtube с 9 миллионами загрузок.

Оказалось, что эти вредоносные расширения были загружены в Chrome Web Store в 2021 и 2022 годах и находились там уже полгода и дольше. Жалобы пользователей на подмену адресов в поисковой выдаче были проигнорированы модераторами Chrome Web Store. Чтобы привлечь внимание Google к проблеме, требовался авторитет нескольких известных специалистов.

Вредоносные браузерные расширения опасны, так как они могут получить доступ к пользовательским данным. Разрешение, которое запрашивают такие расширения, позволяет им просматривать и изменять данные на всех сайтах. Это дает возможность создателям расширений собирать и продавать информацию о пользователях, воровать данные и вставлять рекламу на страницы.

Пользователи обычно не задумываются об опасности расширений и устанавливают их без раздумий, выдавая разрешение на доступ ко всем их данным. Модераторы магазинов, где размещаются расширения, не всегда проявляют достаточную бдительность, и вредоносные плагины проникают в официальные магазины.

Пользователям, которые установили вредоносное расширение, следует немедленно его удалить и найти безопасную замену. Но стоит помнить, что изгнание плагина из магазина не означает его автоматическое удаление с устройств пользователей. Поэтому рекомендуется регулярно проверять и удалять ненужные расширения.

Чтобы защитить себя от вредоносных расширений, рекомендуется устанавливать их в минимальном количестве, читать отзывы перед установкой, периодически просматривать список установленных расширений и использовать надежную защиту на всех устройствах.
 
Такими даже не пользовался
 
Сверху Снизу