„Google Chrome” parduotuvėje saugumo tyrėjas A. Meškovas pastebėjo penkis piktybiškus skelbimų blokatorių plėtinius, kuriuos jau įdiegė ne mažiau kaip 20 milijonų vartotojų.
Deja, kenksmingi naršyklės plėtiniai nėra nieko naujo. Jie dažnai turi prieigą prie visko, ką darote internete ir gali leisti savo kūrėjams pavogti bet kokią informaciją, bet kurią apsilankytą tinklalapį, įskaitant slaptažodžius, žiniatinklio naršymo istoriją ir kredito kortelių duomenis.
Šie penki kenkėjiški plėtiniai, kuriuos atrado Andrejus Meškovas, vienas iš „Adguard” įkūrėjų, yra kelių teisėtų, gerai žinomų skelbimų blokatorių kopijų versijos.
Šių plėtinių kūrėjai taip pat naudojo populiarius raktinius žodžius savo pavadinimuose ir aprašymuose, kad jie būtų geriau reitinguojami paieškos rezultatuose ir tai padidintų galimybę daugiau vartotojų juos atsisiųsti.
„Visi plėtiniai, kuriuos aš paryškinu, yra paprasti rip-offs su keliomis kodo eilutėmis ir autorių pridėtu analitiniu kodu”, – sako A. Meškovas.
Po to, kai Meškovas antradienį pranešė apie savo išvadas „Google”, „Tech Store” iš „Chrome” parduotuvės iškart pašalino visus toliau nurodytus kenkėjiškų skelbimų blokatorių plėtinius:
- AdRemover už Google Chrome ™” (10 mln. ir daugiau vartotojų)
- uBlock Plus (8 milijonai vartotojų)
- [Fake] Adblock Pro (2 milijonai vartotojų)
- HD for YouTube (400 000 ir daugiau vartotojų)
- Webutation (30000 ir daugiau vartotojų)
Meškovas atsisiuntęs „Chrome” AdRemover plėtinį ir jį išnagrinėjęs, jis nustatė, kad kenksmingas kodas, paslėptas modifikuotoje jQuery versijoje, gerai žinoma „JavaScript” biblioteka, siunčia informaciją apie kai kurias svetaines, kurias naudotojas aplanko atgal į nuotolinį serverį.
Kenkėjiškas plėtinys tada gauna komandas iš nuotolinio serverio, kurie vykdomi foniniame puslapyje „background page” plėtinyje ir bet kuriuo kitu būdu gali keisti jūsų naršyklės elgesį.
Norint išvengti aptikimo, šios komandos, siunčiamos nuotoliniu serveriu, yra paslėptos nepavojingai atrodančiame paveikslėlyje.
„Šios komandos yra scenarijus, kurios tada vykdomos privilegijuotame kontekste (pratęsimo foniniame puslapyje) ir gali bet kokiu būdu keisti jūsų naršyklės elgesį”, – sako M. Meškovas.
„Iš esmės tai yra botnetas, kurį sudaro naršyklės, užkrėstos padirbtais „Adblock” plėtiniais”, – sako M. Meškovas. „Naršyklė atliks tai, ką užsakys komandų centro serverio savininkas”.
Tyrėjas taip pat išnagrinėjo kitus „Chrome” parduotuvės plėtinius ir nustatė dar keturis plėtinius naudodamus panašia taktika.
Kadangi naršyklės plėtinys suteikia teisę pasiekti visus lankomus tinklalapius, tai gali padaryti beveik bet ką.
Taigi, patartina įdiegti kuo mažiau pletinių ir tik iš bendrovių, kurioms jūs pasitikite.
