Расширения для Chrome: скрытые угрозы в обещанных удобствах

Эти дополнения применяли различные тактики: от предоставления доступа к буферу обмена сторонним доменам до использования полноценной командной инфраструктуры (C&C, command-and-control) с алгоритмами генерации доменных имен (DGA, domain generation algorithm). Данный обзор типичных методов обмана призван подчеркнуть риски, связанные с установкой даже проверенных дополнений.

Пример 1: Good Tab - уязвимость буфера обмена

Расширение Good Tab позиционирует себя как настраиваемая стартовая страница с погодой и новостями. Его описание не упоминает доступ к буферу обмена. Тем не менее, его код содержит iframe, который через небезопасный HTTP-протокол делегирует права на чтение и запись буфера обмена внешнему домену, например, "api.office123456[.]com". Это создает угрозу перехвата конфиденциальных данных, таких как пароли или ключи. Более того, уязвимость позволяет злоумышленникам подменять содержимое буфера, что исторически использовалось для кражи криптовалюты путем подмены адресов кошельков при копировании.

Пример 2: Children Protection - похищение данных и удаленное выполнение кода

Данное расширение заявлено как инструмент родительского контроля. Однако в его код встроена полноценная C&C-инфраструктура с функциями, далеко выходящими за рамки легитимного мониторинга. Оно использует технику обфускации, разбивая строки на части, чтобы скрыть свою активность. Критический риск заключается в возможности сбора и передачи файлов cookie на удаленный сервер, что является классическим методом для hijacking-а (перехвата) сессии. Для обеспечения устойчивости связь с C&C-сервером поддерживается через DGA, который ежедневно генерирует новые домены. Наиболее опасной возможностью является выполнение произвольного JavaScript-кода, получаемого с управляющего сервера, что открывает путь к полному контролю над браузером.

Пример 3: DPS Websafe - подмена поиска и слежка

Расширение DPS Websafe обещает «честные результаты поиска без рекламы», но фактически занимается подменой поисковых запросов (search hijacking) и слежкой за пользователями. Оно незаконно использует бренд и иконку легитимного Adblock Plus, чтобы вызвать доверие. В своих настройках расширение меняет поисковую систему по умолчанию на контролируемую разработчиками, перенаправляя все запросы на свой домен. Параллельно оно отправляет детализированные данные о поведении пользователя на сторонний трекер без его ведома, что представляет собой скрытый сбор информации.

Пример 4: Stock Informer - уязвимость XSS

Расширение Stock Informer, предназначенное для отслеживания биржевых котировок, содержит две серьезные проблемы. Наиболее критичной является уязвимость межсайтового скриптинга (XSS, Cross-Site Scripting) в используемом плагине Stockdio. Уязвимость, получившая идентификатор CVE-2020-28707, возникает из-за отсутствия проверки данных, передаваемых в функцию "eval()". Это позволяет удаленному злоумышленнику выполнить произвольный код в контексте браузера жертвы, например, для похищения URL-адресов или данных из локального хранилища расширения. Хотя эта уязвимость, вероятно, результат использования устаревшего компонента, она демонстрирует риски цепочки поставок программного обеспечения. При этом намеренная функция подмены поиска в расширении присутствует изначально.

Выводы

Браузерные расширения, несомненно, полезны, но их установка требует осмотрительности даже из официальных источников. Как показало исследование, спектр скрытых угроз широк: от навязчивой рекламы и слежки до перехвата сессий и удаленного выполнения кода. Пользователям следует тщательно проверять репутацию разработчика, изучать запрашиваемые разрешения и регулярно аудитировать установленные расширения. Разработчикам магазинов необходимо ужесточать процессы проверки, чтобы минимизировать вероятность проникновения вредоносных дополнений, маскирующихся под легитимные инструменты.

URLs

• http://api.office123456.com/vcx/
• http://searchingpart.com
• http://trk.entiretrack.com/
• http://www.dpswebsafe.com/rd/
• https://codon.vn/ext/xmshield.json

Extension name

• Good Tab
• Children Protection
• DPS Websafe
• Stock Informer

Extension ID

• glckmpfajbjppappjlnhhlofhdhlcgaj
• giecgobdmgdamgffeoankaipjkdjbfep
• bjoddpbfndnpeohkmpbjfhcppkhgobcg
• beifiidafjobphnbhbbgmgnndjolfcho

DGA pattern

• http://*.live/*.json