Chrome Web Store ลบ 34 ส่วนขยาย Chrome ที่เป็นอันตราย

Google ได้ลบส่วนขยายเบราว์เซอร์ที่เป็นอันตราย 34 รายการออกจาก Chrome Web Store ซึ่งมีจำนวนการดาวน์โหลดรวมกัน 87 ล้านรายการ แม้ว่าส่วนขยายเหล่านี้จะมีฟังก์ชันการทำงานที่ถูกต้องตามกฎหมาย แต่ก็สามารถแก้ไขผลการค้นหาและส่งสแปมหรือโฆษณาที่ไม่ต้องการได้

เมื่อเดือนที่แล้ว Wladimir Palant นักวิจัยอิสระด้านความมั่นคงปลอดภัยไซเบอร์ได้ค้นพบส่วนขยายของเบราว์เซอร์ที่เรียกว่า’กล่องเครื่องมือ PDF'(ดาวน์โหลด 2 ล้านครั้ง) สำหรับ Google Chrome ที่มีการปลอมแปลงโค้ดที่คลุมเครืออย่างชาญฉลาดเพื่อให้ผู้ใช้ไม่ทราบถึงความเสี่ยงที่อาจเกิดขึ้น

Chrome เว็บสโตร์ลบส่วนขยายที่เป็นอันตราย 34 รายการด้วยการดาวน์โหลด 87 ล้านครั้ง

ผู้วิจัยวิเคราะห์ส่วนขยาย PDF Toolbox และ เผยแพร่รายงานโดยละเอียดเมื่อวันที่ 16 พฤษภาคม เขาอธิบายว่าโค้ดถูกสร้างขึ้นให้ดูเหมือนตัวห่อหุ้ม API ส่วนขยายที่ถูกต้องตามกฎหมาย แต่น่าเสียดายที่โค้ดนี้อนุญาตให้เว็บไซต์ “serasearchtop[.]com” ใส่โค้ด JavaScript ได้ตามอำเภอใจในทุกหน้าเว็บที่ผู้ใช้ดู

ตามรายงานระบุว่า การละเมิดที่อาจเกิดขึ้น รวมถึงการลักลอบใช้ผลการค้นหาเพื่อแสดงลิงก์ผู้สนับสนุนและผลลัพธ์ที่ต้องชำระเงิน แม้กระทั่งเสนอลิงก์ที่เป็นอันตรายในบางครั้ง และขโมยข้อมูลที่ละเอียดอ่อน อย่างไรก็ตาม วัตถุประสงค์ของโค้ดยังไม่ทราบ เนื่องจาก Palant ตรวจไม่พบกิจกรรมที่เป็นอันตรายใดๆ

ผู้วิจัยยังพบว่าโค้ดถูกตั้งค่าให้เปิดใช้งานภายใน 24 ชั่วโมงหลังจากติดตั้งส่วนขยาย ซึ่งชี้ไปที่เจตนาร้าย รายงาน กล่าวถึง

ใน บทความติดตามผลที่โพสต์เมื่อวันที่ 31 พฤษภาคม 2023 Palant เขียนว่าเขาพบโค้ดอันตรายเดียวกันนี้ในส่วนขยาย Chrome อีก 18 รายการ โดยมีจำนวนการดาวน์โหลดทั้งหมด 55 ล้าน บน Chrome เว็บสโตร์

จากการตรวจสอบของเขาต่อไป Palant พบรูปแบบรหัสสองแบบ ที่คล้ายกันมากแต่มีความแตกต่างเล็กน้อย:

รูปแบบแรก ปลอมตัวเป็นเบราว์เซอร์ WebExtension ของ Mozilla API Polyfill ที่อยู่การดาวน์โหลด “config” คือ https://serasearchtop.com/cfg//polyfill.json และการประทับเวลาแบบ mangled ที่ป้องกันการดาวน์โหลดภายใน 24 ชั่วโมงแรกคือ localStorage.polyfill ตัวแปรที่สองปลอมเป็นไลบรารี Day.js โดยจะดาวน์โหลดข้อมูลจาก https://serasearchtop.com/cfg//locale.json และจัดเก็บการประทับเวลาที่ไม่ถูกต้องใน localStorage.locale

อย่างไรก็ตาม ตัวแปรทั้งสองมีกลไกการแทรกโค้ด JS ตามอำเภอใจซึ่งเกี่ยวข้องกับ serasearchtop[.]com

ในขณะที่ผู้วิจัย ไม่ได้สังเกตการทำงานของโค้ดที่เป็นอันตราย เขาตั้งข้อสังเกต รายงานและบทวิจารณ์จากผู้ใช้หลายรายการบนเว็บสโตร์ระบุว่า ส่วนขยายกำลังแย่งชิงผลการค้นหาและสุ่มเปลี่ยนเส้นทางไปที่อื่น

แม้ว่า Palant จะรายงานการค้นพบของเขาต่อ Google แต่ส่วนขยายก็ยังคงอยู่ มีอยู่ใน Chrome เว็บสโตร์ หลังจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Avast ยืนยันลักษณะที่เป็นอันตรายของส่วนขยาย Chrome พวกเขาก็ถูกค้นหาแบบออฟไลน์โดยยักษ์ใหญ่ด้านการค้นหา

Palant มี แสดงรายการ ส่วนขยายที่เป็นอันตราย 34 รายการ บนเว็บไซต์ของเขา โดยมียอดดาวน์โหลดรวม 87 ล้านครั้ง ณ วันที่นี้ ส่วนขยายที่เป็นอันตรายทั้งหมดนี้ได้ถูกลบออกแล้วโดย Google จาก Chrome เว็บสโตร์ อย่างไรก็ตาม การดำเนินการนี้จะไม่ปิดใช้งานหรือถอนการติดตั้งจากเว็บเบราว์เซอร์โดยอัตโนมัติ ดังนั้น ขอแนะนำให้ผู้ใช้ถอนการติดตั้งออกจากอุปกรณ์ด้วยตนเอง