A Google 34 rosszindulatú böngészőbővítményt távolított el Chrome Internetes áruházából, amelyek együttes letöltése 87 millió volt. Bár ezek a bővítmények törvényes funkciókkal rendelkeztek, módosíthatták a keresési eredményeket, és spamet vagy nem kívánt hirdetéseket küldhettek.
A múlt hónapban egy független kiberbiztonsági kutató, Wladimir Palant felfedezte a „PDF Toolbox” nevű böngészőbővítményt (2 millió letöltés) a Google Chrome-hoz, amely egy ügyesen álcázott, homályos kódot tartalmazott, hogy a felhasználók figyelmen kívül hagyják lehetséges kockázataikat.
A Chrome Internetes áruház 34 rosszindulatú bővítményt távolít el 87 millió letöltéssel
A kutató elemezte a PDF Toolbox kiterjesztést és részletes jelentést tett közzé május 16-án. Elmagyarázta, hogy a kódot úgy hozták létre, hogy úgy nézzen ki, mint egy legitim kiterjesztésű API burkoló. De sajnos ez a kód lehetővé tette a „serasearchtop[.]com” webhelyet, hogy tetszőleges JavaScript kódot illesszen be a felhasználó által megtekintett minden weboldalba.
A jelentés szerint a lehetséges visszaélések közé tartozik a keresési eredmények eltérítése a szponzorált linkek és a fizetett találatok megjelenítése érdekében, sőt időnként rosszindulatú hivatkozások felkínálása, valamint érzékeny információk ellopása. A kód célja azonban ismeretlen maradt, mivel a Palant nem észlelt rosszindulatú tevékenységet.
A kutató azt is megállapította, hogy a kódot a bővítmény telepítése után 24 órával aktiválták, ami rosszindulatú szándékra utal – említi a jelentés.
Az a folytatásos cikk 2023. május 31-énPalant azt írta, hogy ugyanazt a rosszindulatú kódot további 18 Chrome-bővítményben találta meg, összesen 55 milliós letöltési számmal a Chrome Internetes áruházban.
A nyomozást folytatva Palant a kódnak két olyan változatát találta, amelyek nagyon hasonlóak, de kisebb eltérésekkel:
- Az első változat a Mozilla WebExtension böngésző API Polyfill-jeként jelenik meg. A „config” letöltési cím: https://serasearchtop.com/cfg/
/polyfill.json, és az első 24 órán belüli letöltést megakadályozó összekeveredett időbélyeg a localStorage.polyfill. - A második változat Day.js könyvtárnak álcázza magát. Letölti az adatokat a https://serasearchtop.com/cfg/
/locale.json webhelyről, és a megzavart időbélyeget a localStorage.locale helyen tárolja.
Mindazonáltal mindkét változat megtartja a pontosan tetszőleges JS-kódbefecskendezési mechanizmust, amely magában foglalja a serasearchtopot[.]com.
Míg a kutató nem figyelte meg a rosszindulatú kódot működés közben, számos felhasználói jelentést és véleményt vett észre az Internetes áruházban, amelyek arra utaltak, hogy a bővítmények eltérítették a keresési eredményeket, és véletlenszerűen máshová irányították őket.
Noha Palant beszámolt az eredményekről a Google-nak, a bővítmények továbbra is elérhetők maradtak a Chrome Internetes áruházban. Csak azután, hogy az Avast kiberbiztonsági vállalat megerősítette a Chrome-bővítmények rosszindulatú természetét, a keresőóriás offline állapotba hozta őket.
Palant volt listázott 34 rosszindulatú bővítmény található a webhelyén, a letöltések száma összesen 87 millió. A mai napig az összes rosszindulatú bővítményt a Google eltávolította a Chrome Internetes áruházból. Ez azonban nem deaktiválja vagy távolítja el őket automatikusan a böngészőjükből. Ezért a felhasználóknak azt javasoljuk, hogy kézzel távolítsák el őket eszközeikről.
