Специалист по кибербезопасности под псевдонимом Q Continuum заявил об обнаружении 287 расширений для браузера Google Chrome, передающих историю просмотров пользователей на сторонние серверы. Об этом говорится в исследовательском отчете эксперта.
По его данным, к сбору данных могут быть причастны разные компании и структуры, в частности Similarweb , Curly Doggo, Offidocs, ряд китайских компаний, неизвестные дата-брокеры, а также Big Star Labs, которую исследователь называет вероятной дочерней структурой Similarweb.
Для анализа эксперт создал автоматизированный конвейер тестирования:
запускал изолированные экземпляры Chrome;
устанавливал отдельные расширения;
посещал заранее определенный набор сайтов;
фиксировал исходные сетевые соединения.
Тестовая среда работала в контейнере Docker, что позволяло изолированно и последовательно проверять каждое расширение.
По мнению исследователя, массовый сбор истории пересмотров может создавать серьезные риски, в частности:
корпоративный шпионаж – через раскрытие внутренних URL-адресов компаний;
компрометацию учетных записей – если вместе с URL передаются файлы cookie;
отслеживание активных веб-сеансов пользователей.
Эксперт объясняет, что если сетевой трафик расширения возрастает пропорционально длине посещенного URL, это может свидетельствовать о передаче полного веб-адреса или даже HTTP-запроса на удаленный сервер.
Среди расширений с потенциально рискованным поведением инструменты с миллионами пользователей в следующих категориях:
VPN и прокси-сервисы;
поиск купонов и скидок;
PDF-инструменты;
браузерные утилиты и блокировщики рекламы.
В отчете упоминаются, в частности:
Stylish
BlockSite
Stay Сфокусированный
SimilarWeb
WOT: Website Security & Safety Checker
Video Ad Blocker Plus для YouTube
CrxMouse
Некоторые из них спрашивали широкие кросс-доменные разрешения (host permissions), позволяющие отслеживать навигацию пользователей на разных сайтах.
Отдельное внимание исследователь обратил на методы маскировки трафика. Часть расширений использовала:
кодирование Base64 и ROT47;
сжатие LZ-String;
полное шифрование AES-256 с использованием RSA-OAEP.
После расшифровки, по словам эксперта, была обнаружена передача «сырых» URL-адресов поиска Google, реферальных страниц, идентификаторов пользователей и временных меток на частные домены и облачные инфраструктуры.
В то же время исследователь подчеркнул, что не все расширения с передачей истории просмотров обязательно преступны. В некоторых случаях сбор данных может являться частью функционала, например для сервисов безопасности или аналитики.
Он также отметил, что часть ошибочных срабатываний пришлось вручную исключать из результатов автоматического сканирования.
Отчет содержит список URL расширений в Chrome Web Store и информацию о компаниях, связанных с их разработкой.
Ранее мы публиковали статью авторитетного мирового издания, в которой говорилось, почему нужно немедленно прекратить пользоваться Google Chrome.