Google usunął 34 złośliwe rozszerzenia przeglądarki ze swojego Chrome Web Store, które łącznie miały liczbę pobrań 87 milionów. Chociaż te rozszerzenia zawierały legalne funkcje, mogły modyfikować wyniki wyszukiwania i przesyłać spam lub niechciane reklamy.
W zeszłym miesiącu niezależny badacz cyberbezpieczeństwa Wladimir Palant wykrył rozszerzenie przeglądarki o nazwie „PDF Toolbox” (2 miliony pobrań) dla Google Chrome ze sprytnie ukrytym zaciemnionym kodem, aby użytkownicy nie byli świadomi potencjalnych zagrożeń.
Chrome Web Store usuwa 34 złośliwe rozszerzenia 87 milionami pobrań
Badacz przeanalizował rozszerzenie PDF Toolbox i opublikował szczegółowy raport 16 maja. Wyjaśnił, że kod został stworzony tak, by wyglądał jak legalne opakowanie interfejsu API rozszerzenia. Niestety, ten kod umożliwił witrynie „serasearchtop[.]com” wstrzyknięcie dowolnego kodu JavaScript do każdej strony przeglądanej przez użytkownika.
Według raportu, potencjalne nadużycia obejmują przechwytywanie wyników wyszukiwania w celu wyświetlania linków sponsorowanych i płatnych wyników, czasem nawet oferowanie złośliwych linków oraz kradzież poufnych informacji. Jednak cel kodu pozostał nieznany, ponieważ Palant nie wykrył żadnej złośliwej aktywności.
Badacz odkrył również, że kod został ustawiony tak, aby aktywował się 24 godziny po zainstalowaniu rozszerzenia, co wskazuje na złośliwe intencje, raport wspomniano.
W w kolejnym artykule opublikowanym 31 maja 2023 r., Palant napisał, że znalazł ten sam złośliwy kod w kolejnych 18 rozszerzeniach Chrome o łącznej liczbie pobrań 55 milionów w Chrome Web Store.
Kontynuując dochodzenie, Palant znalazł dwa warianty kodu, które były bardzo podobne, ale z niewielkimi różnicami:
Pierwszy wariant podszywa się pod przeglądarkę WebExtension firmy Mozilla API Polyfill. Adres pobierania „config” to https://serasearchtop.com/cfg/
Jednak oba warianty zachowują dokładny mechanizm wstrzykiwania arbitralnego kodu JS z udziałem serasearchtop[.]com.
Chociaż badacz nie obserwował złośliwego kodu w działaniu, zauważył kilka raportów użytkowników i recenzji w sklepie internetowym wskazujących, że rozszerzenia przejmowały wyniki wyszukiwania i losowo przekierowywały je w inne miejsce.
Chociaż Palant zgłosił swoje ustalenia do Google, rozszerzenia pozostały dostępne w Chrome Web Store. Dopiero po tym, jak firma Avast zajmująca się cyberbezpieczeństwem potwierdziła złośliwy charakter rozszerzeń Chrome, zostały one wyłączone przez giganta wyszukiwania.
Palant miał wymienił 34 złośliwe rozszerzenia na swojej stronie internetowej, z łączną liczbą pobrań 87 milionów. Na dzień dzisiejszy wszystkie te złośliwe rozszerzenia zostały usunięte przez Google z Chrome Web Store. Nie powoduje to jednak automatycznej dezaktywacji ani odinstalowania ich z przeglądarek internetowych. Dlatego zaleca się użytkownikom ręczne odinstalowanie ich ze swoich urządzeń.