Когда пользователь устанавливает расширение для браузера, он доверяет разработчику полный доступ к истории посещений, данным на страницах и возможности изменять содержимое веб-сайтов. Казалось бы, безобидный инструмент для блокировки вкладок и защиты конфиденциальности Page Locker, доступный в интернет-магазине Chrome, демонстрирует классический пример того, как заявленная функциональность маскирует скрытые возможности удалённого контроля.
Описание
На первый взгляд всё выглядит совершенно безопасно. Расширение предлагает пользователю размытие содержимого страницы, установку пин-кода для доступа и таймер автоматической блокировки. Разработчики даже предусмотрели отключение звука и остановку видео - стандартный набор для инструмента продуктивности. Основная логика работы действительно соответствует описанию: код содержит функции для применения эффекта размытия через CSS-фильтры, настройку правил перенаправления на страницу блокировки и управление таймерами.
Однако внимательный анализ кода выявляет как минимум три аномалии, которые не имеют никакого отношения к заявленным функциям. Первый тревожный сигнал - обращение к внешнему API для проверки пин-кода. Разработчики могли бы хранить пароль локально и сверять его в браузере без отправки данных на сервер. Но вместо этого расширение отправляет запрос на адрес cloudapi.stream, передавая код в теле запроса. Зачем изолированному инструменту для блокировки страниц вообще нужна связь с удалённым сервером? Вопрос остаётся без ответа, если не предполагать скрытых функций.
Второй и самый опасный элемент скрыт в конце основного кода. Функция "loadInfo" отправляет POST-запрос на сервер, передавая тип запроса и уникальный идентификатор расширения. В ответ сервер может вернуть URL-адрес, который браузер немедленно откроет в новой вкладке. Причём эта функция вызывается автоматически при загрузке расширения - безо всякого участия пользователя и без какого-либо интерфейса. Пользователь даже не узнает, что его браузер только что связался с удалённым сервером и потенциально открыл произвольную страницу.
Эксперты по информационной безопасности давно предупреждают о подобной схеме: когда расширение содержит недокументированные возможности удалённого управления, это превращает браузер в потенциальный инструмент для атак. В данном случае сервер решает, что именно показывать пользователю - рекламу, информационное сообщение или, что гораздо опаснее, фишинговую страницу, имитирующую вход в онлайн-банк или корпоративный портал.
Сам по себе код не является вредоносным в классическом понимании - он не удаляет файлы и не шифрует данные. Но такое поведение создаёт серьёзные риски для конфиденциальности. Если сервер, контролирующий расширение, будет скомпрометирован злоумышленниками, они получат возможность открывать любые веб-страницы на устройствах всех пользователей. Это превращает расширение в бэкдор, действующий через легитимный канал браузерного расширения.
Отметим, что подобная схема уже использовалась в реальных атаках. Вредоносные расширения, маскирующиеся под инструменты для повышения продуктивности, неоднократно выявлялись в официальных каталогах Google. Сообщили исследователи, в 2023 году была обнаружена целая сеть фальшивых VPN-расширений, которые аналогичным образом управлялись с удалённого сервера и использовались для кражи учётных данных.
Для пользователей это означает несколько важных последствий. Во-первых, установка любого расширения с доступом к содержимому страниц требует проверки кода или хотя бы оценки репутации разработчика. Во-вторых, любое расширение, которое отправляет данные на внешние сервера без явного согласия пользователя, должно вызывать подозрение. В-третьих, регулярный аудит установленных расширений и удаление тех, которые не используются, значительно снижает поверхность атаки.
Что касается самого расширения Page Locker, то его код демонстрирует признаки так называемого "greyware" - программного обеспечения, которое не является откровенно вредоносным, но нарушает ожидания пользователя и содержит скрытый функционал. Сегодня это "всего лишь" открытие вкладок с рекламой или информацией, завтра - перенаправление на сайт, загружающий трояны или кейлоггеры.
Ситуация усугубляется тем, что расширение прошло проверку интернет-магазина Chrome. Хотя Google автоматически сканирует код на наличие известных вредоносных сигнатур, подобные скрытые вызовы API и возможности удалённого управления не всегда отсеиваются на этапе модерации. Разработчикам таких расширений достаточно разделить "чистую" видимую часть и скрытую логику, которая активируется только после проверки на сервере.
Рекомендация для специалистов по информационной безопасности проста: при обнаружении расширений с подобным поведением следует проверять их на наличие удалённого управления и, если оно не описано в политике конфиденциальности, считать такие приложения компрометирующими устройства. Пользователям же стоит дважды подумать, прежде чем устанавливать инструменты, которые запрашивают разрешения, явно превышающие их реальные потребности.
История с Page Locker - очередное напоминание о том, что доверие к программному обеспечению не должно быть слепым. Каждая строка кода, особенно если она ведёт на сервер за пределами контроля пользователя, может стать каналом для атаки. В мире информационной безопасности нет места функциям, которые "зачем-то обращаются к API" - либо у них есть чёткое обоснование, либо их не должно быть в коде. И пользователь имеет право знать об этом до того, как нажмёт кнопку "Установить".
Индикаторы компрометации
Extension ID
- ldmnhdllijbchflpbmnlgndfnlgmkgif
Domains
- cloudapi.stream
- mines.cloudapi.stream
- webuk.tech
MD5
- 261e6b2fd461a657a8a148bd745a4ded
SHA256
- 477bc63c5a08497a8ea0c6d98ae1a4a692c39ac3abc51c2194ad42d86f47d581
