Google рекомендует: вот вам 35 расширений для… тотальной слежки?

Недавнее расследование независимого исследователя Джона Такнера показало, что в магазине Chrome Web Store размещены десятки расширений с подозрительным поведением, которые были установлены более чем на 4 миллиона устройств. Многие из них скрыты от обычного поиска, а некоторые даже получили пометку «Рекомендовано». Но за кажущейся легитимностью скрывается мощный набор функций, позволяющий следить за пользователями и потенциально вмешиваться в работу браузера.

Всего было выявлено 35 расширений, между которыми прослеживается множество совпадений — одни и те же фрагменты кода, обращения к одинаковым серверам, а также запрашиваемые разрешения, открывающие доступ к чувствительным функциям. В частности, речь идёт о доступе к cookies, возможностях управления вкладками, перехвате веб-запросов, инъекции JavaScript на все посещаемые страницы и хранении конфигурации внутри браузера. Дополнительно используется механизм внутренних событий, имитирующий работу по расписанию — например, отправку «сигналов жизни» на удалённые серверы.

Такой набор прав предоставляет расширениям практически полный контроль над активностью пользователя в браузере, а их реальное назначение часто никак не оправдывает подобные полномочия. Например, расширение «Browse Securely» должно лишь блокировать вредоносные сайты, однако получает и доступ к cookies, что явно выходит за рамки разумного.

Большинство из выявленных расширений имеют сильную обфускацию кода, что серьёзно затрудняет анализ их поведения. В одном случае, с «Fire Shield Extension Protection», выяснилось, что расширение подключается к внешнему серверу и, в зависимости от ситуации, может менять своё поведение — например, после загрузки другого подозрительного расширения оно начало отслеживать сайты, посещённые пользователем, предшествующие визиты и даже разрешение экрана.

Некоторые из дополнений скрыты от поиска в Web Store и доступны только по прямым ссылкам. Однако непонятно, как при этом они набрали в среднем по 114 тысяч установок каждое. Ещё более удивительно, что десять из них отмечены Google как «Featured» — статус, выдаваемый за высокий уровень дизайна, функциональности и проверенную личность разработчика. Это вызывает серьёзные вопросы к процессу проверки приложений и критериям, по которым они получают доверие со стороны Google.

В числе наиболее сомнительных обнаруженных доменов оказался «unknow[.]com» — он фигурирует почти во всех расширениях. При этом даже активное наблюдение за поведением дополнений не всегда позволяет понять, какие именно данные они собирают или передают. Само их поведение — подключение к внешним серверам, динамическое управление функциями и сложная маскировка — говорит о наличии элементов шпионского ПО или инфостилеров.

Исследователь подчёркивает, что хотя ему не удалось зафиксировать факт кражи учётных данных, сама архитектура и возможности кода уже представляют собой значительную угрозу. Любое расширение, способное получать команды извне и менять своё поведение в зависимости от удалённой конфигурации, потенциально может стать инструментом слежки.

Google пока не прокомментировала ситуацию и не сообщила, ведётся ли проверка. Обращения к адресам, указанным в политике конфиденциальности расширений, также остались без ответа. Полный список расширений, а также идентификаторы и IoC опубликованы в исследовании Такнера и сопутствующем документе.

Список расширений включает названия вроде «Fire Shield Chrome Safety», «Protecto for Chrome», «Securify Your Browser», «Check My Permissions» и другие. Всем, у кого они установлены, рекомендуется немедленно удалить их и провести аудит других расширений в браузере.