Фахівець із кібербезпеки під псевдонімом Q Continuum заявив про виявлення 287 розширень для браузера Google Chrome, які передають історію переглядів користувачів на сторонні сервери. Про це йдеться у дослідницькому звіті експерта.
За його даними, до збору даних можуть бути причетні різні компанії та структури, зокрема Similarweb, Curly Doggo, Offidocs, низка китайських компаній, невідомі дата-брокери, а також Big Star Labs, яку дослідник називає ймовірною дочірньою структурою Similarweb.
Для аналізу експерт створив автоматизований конвеєр тестування:
запускав ізольовані екземпляри Chrome;
встановлював окремі розширення;
відвідував заздалегідь визначений набір сайтів;
фіксував вихідні мережеві з’єднання.
Тестове середовище працювало у контейнері Docker, що дозволяло ізольовано та послідовно перевіряти кожне розширення.
На думку дослідника, масовий збір історії переглядів може створювати серйозні ризики, зокрема:
корпоративне шпигунство — через розкриття внутрішніх URL-адрес компаній;
компрометацію облікових записів — якщо разом із URL передаються файли cookie;
відстеження активних веб-сеансів користувачів.
Експерт пояснює, що якщо мережевий трафік розширення зростає пропорційно довжині відвіданого URL, це може свідчити про передачу повного веб-адреса або навіть HTTP-запиту на віддалений сервер.
Серед розширень із потенційно ризикованою поведінкою — інструменти з мільйонами користувачів у таких категоріях:
VPN та проксі-сервіси;
пошук купонів і знижок;
PDF-інструменти;
браузерні утиліти та блокувальники реклами.
У звіті згадуються, зокрема:
Stylish
BlockSite
Stay Focused
SimilarWeb
WOT: Website Security & Safety Checker
Video Ad Blocker Plus for YouTube
CrxMouse
Деякі з них запитували широкі крос-доменні дозволи (host permissions), що дозволяє відстежувати навігацію користувачів на різних сайтах.
Окрему увагу дослідник звернув на методи маскування трафіку. Частина розширень використовувала:
кодування Base64 і ROT47;
стиснення LZ-String;
повне шифрування AES-256 із застосуванням RSA-OAEP.
Після розшифрування, за словами експерта, було виявлено передачу «сирих» URL-адрес пошуку Google, реферальних сторінок, ідентифікаторів користувачів і часових міток на приватні домени та хмарні інфраструктури.
Водночас дослідник наголосив, що не всі розширення з передачею історії переглядів обов’язково мають злочинні наміри. У деяких випадках збір даних може бути частиною функціоналу, наприклад для сервісів безпеки чи аналітики.
Він також зазначив, що частину помилкових спрацьовувань довелося вручну виключати з результатів автоматичного сканування.
Звіт містить перелік URL-адрес розширень у Chrome Web Store та інформацію про компанії, пов’язані з їхньою розробкою.
Раніше ми публікували статтю авторитетного світового видання, в якій ішлося про те, чому потрібно негайно припинити користуватися Google Chrome.