Специалист по безопасности под псевдонимом «Q Continuum» обнаружил 287 расширений для Chrome, которые крадут историю браузера. «За утечками стоят разные игроки: Similarweb, Curly Doggo, Offidocs, китайские компании, множество мелких неизвестных дата-брокеров, а также загадочная фирма Big Star Labs, которая, похоже, является дочерней компанией Similarweb», — говорится в исследовательском отчете.
Для анализа исследователь разработал автоматизированный конвейер, который запускал экземпляры Chrome, устанавливал расширения, посещал заранее определенный набор веб-сайтов и фиксировал исходящие соединения.
Он предупредил, что сбор таких данных может привести к корпоративному шпионажу, раскрывая внутренние корпоративные URL-адреса, к которым обращаются сотрудники. В случаях, когда расширения также собирают файлы cookie, они могут облегчить кражу учетных данных, предоставляя злоумышленникам подробную информацию об активных веб-сеансах.
VPN, инструменты для повышения производительности и надстройки для покупок
Исследование выявило множество популярных расширений с рискованным поведением в таких категориях, как VPN/прокси-сервисы, Поиск купонов, инструменты PDF и утилиты для браузера. Многие из них имеют сотни тысяч или миллионы пользователей.
Среди этих расширений — блокировщики всплывающих окон для Chrome: Stylish, BlockSite, Stay Focused и SimilarWeb. Также были упомянуты: Website Traffic и SEO Checker, WOT: Website Security и Safety Checker, Smarty, Video Ad Blocker Plus для YouTube, Knowee AI и CrxMouse: Mouse Gestures.
По словам исследователя, несколько расширений запрашивали широкие разрешения хоста (кросс-сайты), что позволяло им отслеживать события навигации и действия страниц в различных доменах. «Если расширение просто читает заголовок страницы или вставляет CSS, его сетевой след должен оставаться одинаковым независимо от длины URL — адреса, который мы посещаем», — объясняет он логику маркировки в своем отчете.
«Если исходящий трафик увеличивается линейно с длиной URL, очень вероятно, что расширение отправляет сам URL (или весь HTTP-запрос) на удаленный сервер», — добавляет эксперт.
Зашифрованная эксфильтрация затрудняла обнаружение
Кроме того, он указывает, что несколько из этих расширений пытались скрыть тип передаваемых данных. Исходные полезные данные часто шифровались или кодировались перед передачей, что препятствовало автоматической проверке.
Ручная проверка перехваченного трафика выявила множество методов обфускации: Base64, ROT47, сжатие LZ-String и полное шифрование AES-256, упакованное в RSA-OAEP, — объясняет исследователь в другом отчете. Расшифровка этих полезных данных показала, что необработанные URL-адреса поиска Google, рефералы страниц, идентификаторы пользователей и временные метки отправлялись в сеть проприетарных доменов и конечных точек облачных провайдеров.
Тестовая среда исследователя запускала Chrome в контейнере Docker, что позволяло изолированно и последовательно анализировать каждое расширение.
Однако специалист по безопасности признал, что, вероятно, не все расширения, раскрывающие историю браузера, имеют злонамеренные намерения. Он также уточнил, что некоторые ложные срабатывания пришлось вручную удалять из журналов расширений, отмеченных автоматическими сканерами. «Некоторые расширения могут быть безвредными и должны собирать историю браузера для таких функций, как Avast Online Security & Privacy».
Отчет об обнаружении содержал список URL-адресов из Chrome Web Store и информацию об игроках, стоящих за этими расширениями, в качестве справочного материала. (jm)