Провал безпеки. Як хакери заволодівали даними користувачів Chrome

У материнській компанії Google, Alphabet, заявили про видалення понад 70 шкідливих розширень з інтернет-магазину браузера Chrome. Заява послідувала за звітом дослідників безпеки з компанії Awake.

«Коли нас попереджають про розширення в інтернет-магазині, що порушують наші правила, ми звертаємо на це увагу та використовуємо ці випадки як навчальний матеріал для покращення наших автоматичних та ручних перевірок», — розповів співробітник Google Скотт Уестовер агентству Reuters.

Велика частина безкоштовних розширень призначені для попередження користувачів Chrome про сумнівні сайти або для перетворення файлів на інший формат. Але замість цього розширення зливали історію переглядів та дані, доступ до яких надавали користувачі.

За словами співзасновника та головного наукового співробітника компанії Awake, що спеціалізується на кібербезпеці, Гері Голомба, 70 шкідливих еддонів спровокували наймасштабнішу кібератаку на Chrome за всю історію роботи браузера. Їх завантажили 32 мільйони разів.

При цьому в Google не пояснили, наскільки остання кібератака перевершує попередні, який обсяг збитку було завдано користувачам, та чому компанія не видалила шкідливі розширення заздалегідь, незважаючи на обіцянки ретельніше контролювати їхню безпеку.

Також невідомо, хто створив шахрайські розширення. У Awake розповіли, що розробники еддонів надали несправжню контактну інформацію при їх завантаженні.

«Все, що потрапить до чийогось браузера, електронної пошти або до інших вразливих місць, стане ціллю для шпигунів, а також для організованої злочинності», — розповів колишній інженер Агентства національної безпеки США Бен Джонсон, засновник охоронних компаній Carbon Black та Obsidian Security .

За словами Голомба з Awake, розширення розробили з метою сховати шкідливе ПЗ від виявлення антивірусами. Дослідники дізналися, що при використанні браузера для веб-серфінгу, він підключається до ряду сайтів та передає туди інформацію, яку збирають розширення.

«Це показує, як зловмисники можуть використовувати надзвичайно прості методи, щоб приховати, в цьому випадку, тисячі шкідливих доменів», — поділився Голомб. Понад 15 тисяч сайтів, до яких підключалися еддони, були зареєстровані в ізраїльського реєстратора Galcomm (CommuniGal Communication Ltd.). У Awake стверджують, що в Galcomm могли знати про зливи даних. При цьому власник Galcomm Моше Фогель заперечує провину реєстратора.

«Galcomm не залучений та не причетний до будь-якої шкідливої ​​діяльності, — стверджує Фогель. — Ми співпрацюємо з правоохоронними органами та органами безпеки, щоб запобігти якнайбільшій кількості таких випадків».

За словами Фогеля, його компанія не отримувала запити від Awake. В ICANN (Internet Corp for Assigned Names and Numbers), інтернет-корпорації, що займається присвоєнням імен та номерів і здійснює нагляд за реєстраторами, заявили, що за останні роки корпорація отримала несуттєве число скарг на Galcomm та жодної скарги на шкідливе ПЗ.

Проблеми з фейковими розширеннями для Chrome існують вже багато років, але з часом вони стають все гіршими. Спочатку вони заважали тільки небажаною рекламою, а тепер встановлюють шкідливі програми або відстежують місцезнаходження користувачів.

У лютому 2020 року одне з шахрайських розширень викрало дані близько 1,7 мільйона користувачів. Під час розслідування Google виявила 500 таких розширень.

За матеріалами Reuters