Nie tak dawno, bo w styczniu, pisaliśmy o rozszerzeniach Chrome, które kradną rozmowy z AI botami. Dzisiaj będziemy kontynuować temat. Badacze bezpieczeństwa odkryli ponad 300 rozszerzeń Chrome, które pozyskują dane przeglądarki, szpiegują użytkowników lub wręcz kradną ich dane.
Badania skoncentrowane na analizie ruchu sieciowego generowanego przez rozszerzenia Chrome ujawniły 287 aplikacji przesyłających historię przeglądania użytkownika lub strony wyników wyszukiwania (SERP).
Niektóre z nich, jak wyjaśnia badacz bezpieczeństwa Q Continuum, zasadniczo udostępniają dane niezabezpieczonym sieciom, podczas gdy inne wysyłają je na serwery zbierające dane, czy to ze względu na zamierzoną funkcjonalność, w celach monetyzacji, czy w złośliwych zamiarach.
Jak twierdzi badacz, rozszerzenia mają ponad 37,4 miliona użytkowników. Spośród nich około 27,2 miliona zainstalowało rozszerzenia z grupy 153, w których wypadku potwierdzono wyciek historii przeglądarki po instalacji.
Q Continuum oznaczyło również ponad 200 dodatkowych rozszerzeń jako podejrzane ze względu na udostępnianie danych autora. Zaobserwowano także cztery scrapery łączące się z honeypotem skonfigurowanym na potrzeby badania.
Na podstawie wyników analizy autor twierdzi, iż w monetyzację tych aplikacji może być bezpośrednio zaangażowany broker danych, a nie twórcy rozszerzeń.
Specjalista połączył rozszerzenia z 32 podmiotami i odkrył powiązania ze znanymi dystrybutorami rozszerzeń spyware. W oddzielnym raporcie firma LayerX szczegółowo opisała złośliwe zachowanie 30 rozszerzeń do Chrome’a (z ponad 260 000 pobrań), które wstrzykiwały ramki iframe w celu manipulowania treścią i kradzieży danych przeglądarki użytkowników. Raport można zobaczyć tutaj.
Podszywając się pod narzędzia wspomagające sztuczną inteligencję, wszystkie rozszerzenia miały „tę samą strukturę wewnętrzną, logikę JavaScript, uprawnienia i infrastrukturę zaplecza”, co sugeruje, iż są częścią jednej, skoordynowanej operacji.
Jedno rozszerzenie renderowało pełnoekranową ramkę iframe wskazującą na zdalną domenę i umożliwiając atakującemu załadowanie zdalnej treści w celu bezpośredniej manipulacji interfejsem użytkownika.
Rozszerzenie może również wyodrębniać dane z aktywnej karty, obsługuje rozpoznawanie głosu wyzwalane wiadomościami i zawiera jawne skrypty pikseli śledzących.
Według LayerX zaobserwowano 15 rozszerzeń ukierunkowanych konkretnie na Gmaila, które wyodrębniały zawartość wiadomości e-mail i przesyłały ją do infrastruktury stron trzecich.
