Η Google αφαίρεσε πάνω από 500 επεκτάσεις του Chrome από το Web Store, γιατί σύμφωνα με τους ερευνητές, έκλεβαν δεδομένα περιήγησης, και προωθούσαν απάτες κλικ μετά την εγκατάσταση στους υπολογιστές εκατομμυρίων χρηστών.
Ανάλογα με τον τρόπο που το βλέπετε, αυτό είναι καλό, επειδή δεν είναι πλέον διαθέσιμες να μολύνουν τους χρήστες, αλλά είναι και κακό αν σκεφτεί κανείς πόσο εύκολο είναι να περάσουν κακόβουλες επεκτάσεις στο Web Store και να παραμείνουν εκεί για χρόνια χωρίς να τις ανακαλύψει η Google.
Οι κακόβουλες επεκτάσεις βρέθηκαν από την ερευνήτρια Jamila Kaya που χρησιμοποίησε το εργαλείο CRXcavator της Duo Security (διαθέσιμο στο CRXcavator.io) για να εντοπίσει μια μερικές επεκτάσεις που της φάνηκαν ύποπτες.
Η ανακάλυψη των επεκτάσεων ήταν μόνο η αρχή, καθώς έπρεπε να τις συνδέσει μεταξύ τους για να αποκαλύψει επαναλαμβανόμενα paterns που θα μπορούσαν να εντοπίσουν κι άλλες κακόβουλες επεκτάσεις.
Το πρώτο λοιπόν που παρατήρησε η ερευνήτρια ήταν ότι ο κώδικας της κάθε επέκτασης συχνά έμοιαζε με τον κώδικα της άλλης, ήταν μια αντιγραφή με μικρές αλλαγές στα ονόματα των εσωτερικών λειτουργιών.
Μια άλλη ομοιότητα ήταν ο μεγάλος αριθμός δικαιωμάτων που ζητούσε η επέκταση κατά την εγκατάσταση, κάτι που τους επέτρεπε να έχουν πρόσβαση στα δεδομένα περιήγησης και να τρέχουν κατά την επίσκεψη σε ιστότοπους που χρησιμοποιούν HTTPS.
Η ερευνήτρια σε συνεργασία με την Duo Security, εντόπισε τελικά 70 επεκτάσεις που φάνηκαν να σχετίζονται μεταξύ τους. Όλες έρχονταν σε επαφή με παρόμοια δίκτυα εντολών και ελέγχου και φαινόταν ότι σχεδιάστηκαν για να ανιχνεύουν και να εξουδετερώνουν την ανάλυση του sandbox.
Πολλές από τις επεκτάσεις ήταν ενεργές εδώ και σχεδόν ένα χρόνο, ενώ άλλες να υπήρχαν για πολύ μεγαλύτερο χρονικό διάστημα.
Η Google αμέσως μετά πραγματοποίησε δικές της έρευνες με βάση την έρευνα της Jamila Kaya και ο αριθμός των κακόβουλων επεκτάσεων ξεπέρασαν τις 500.
Η Google ανέφερε:
Κάνουμε τακτικές σαρώσεις για να βρούμε επεκτάσεις χρησιμοποιώντας παρόμοιες τεχνικές, κώδικες και συμπεριφορές και αφαιρούμε αυτές τις επεκτάσεις που παραβιάζουν τις πολιτικές μας.
Οι επεκτάσεις που ανακαλύφθηκαν από την Duo Security και την Kaya είχαν εγκατασταθεί συνολικά 1,7 εκατομμύρια φορές.
Το Chrome Web της Google έχει περίπου 190.000 επεκτάσεις και ίσως αυτός ο μεγάλος αριθμός να είναι μέρος του προβλήματος. Οι κακόβουλες επεκτάσεις έχουν μπορούν και κρύβονται πολύ πιο εύκολα ανάμεσα στο πλήθος.
Ο Firefox της Mozilla αντιμετώπισε το ίδιο θέμα σε μικρότερη κλίμακα και πρόσφατα απαγόρευσε 197 επικίνδυνες επεκτάσεις και υπενθύμισε σε όλους ότι δεν θα ανέχεται πλέον επεκτάσεις που τρέχουν απομακρυσμένο κώδικα.
Αν χρησιμοποιούσατε κάποια από τις 500 επεκτάσεις που αφαιρέθηκαν, θα διαπιστώσετε ότι έχει απενεργοποιηθεί αυτόματα στο πρόγραμμα περιήγησής τους, με προειδοποιήσεις που τις χαρακτηρίζουν κακόβουλες.
Τι μάθαμε;
Κανείς δεν μπορεί να υποθέσει ότι επειδή μια επέκταση φιλοξενείται σε ένα επίσημο web store είναι και ασφαλής στη χρήση:
- Εγκαταστήστε όσο το δυνατόν λιγότερες επεκτάσεις και, παρά το παραπάνω, μόνο από τα επίσημα web stores.
- Ελέγξτε τα σχόλια από τους άλλους που έχουν εγκαταστήσει την επέκταση.
- Δώστε προσοχή στη φήμη του προγραμματιστή και το πόσο συχνά κυκλοφορεί ενημερώσεις έκδοσης.
- Προσέξτε με τα δικαιώματα που ζητάει η επέκταση (Chrome, Ρυθμίσεις – Επεκτάσεις – Λεπτομέρειες) για να δείτε αν ταιριάζουν με τις λειτουργίες της επέκτασης.
