HTCinside


500 extensions Chrome ont secrètement téléchargé des données privées de millions d'utilisateurs

La société Duo Security a récemment identifié plus de 500 extensions de navigateur qui ont été téléchargées des millions de fois volent les données des utilisateurs et les téléchargent sur des serveurs contrôlés par des attaquants pour une telle utilisation. Il a été constaté que ces extensions fonctionnaient depuis janvier 2019 environ, le flux augmentant rapidement de mars à juin. Cependant, la firme note la possibilité qu'ils aient pu fonctionner beaucoup plus longtemps, peut-être depuis 2017.

Jamila Kaya, chercheuse indépendante de la société appartenant à Cisco, a découvert qu'ils faisaient partie d'un programme de malvertising et de fraude publicitaire de longue date. L'entreprise, lors de son premier tour, avait identifié 71 extensions de ce type qui avaient enregistré plus de 1,7 million de téléchargements sur le Chrome Web Store. Ils avaient signalé ces découvertes à Google lorsqu'ils avaient découvert environ 400 autres extensions de ce type.

Bien que les extensions ne partagent rien en commun en ce qui concerne leurs fonctionnalités, elles partagent le même code source, a découvert Kaya. Elle a découvert ces extensions avec l'aide de CRXcavateur , un outil que Duo Security a développé et mis à la disposition du public pour une utilisation gratuite. Cet outil mesure la sécurité de toute extension Chrome.

Ces extensions louches ont été introduites en tant qu'utilitaires offrant diverses promotions. Mais le fait était que les extensions entraînaient des fraudes publicitaires et des publicités malveillantes en fouillant dans les navigateurs. Les plugins seraient alors connectés à un site Web qui ressemble à l'extension installée par l'utilisateur pour vérifier s'il doit se désinstaller lui-même.

Les plugins redirigeraient alors les navigateurs vers les serveurs codés en dur pour obtenir des instructions supplémentaires sur ce qui doit être fait. C'est là que les navigateurs finissent par télécharger des données, des listes de flux publicitaires ou des domaines pour de futures redirections. Les navigateurs ont simplement suivi et fait ce qui était demandé via les redirections.

Lis -Shady Chrome Extension vole 16 000 $ de crypto-monnaie

Il a été observé que si les redirections étaient pour la plupart inoffensives, elles devenaient malveillantes et frauduleuses une fois que le nombre de redirections était pris en compte. Un navigateur a été redirigé plus de 30 fois dans certains cas. À cela s'ajoute la dissimulation délibérée de la plupart des publicités des utilisateurs, et une combinaison de ces deux où les redirections conduiraient l'utilisateur vers des sites de logiciels malveillants et de phishing.

Il est noté par Duo Security que ces extensions ont été créées de telle manière que l'intention réelle concernant la publicité reste toujours cachée aux utilisateurs. 'Cela a été fait afin de connecter les clients du navigateur à une architecture de commande et de contrôle, d'exfiltrer les données de navigation privées à l'insu des utilisateurs, d'exposer l'utilisateur à un risque d'exploitation par le biais de flux publicitaires et de tenter d'échapper aux mécanismes de détection de fraude du Chrome Web Store.» indique le rapport de la firme de sécurité.

Google a depuis longtemps désactivé les extensions et les a marquées comme des logiciels malveillants afin que les utilisateurs ne puissent plus les installer ni y accéder. Dans le même ordre d'idées, il est utile qu'un utilisateur fasse preuve de vigilance lors de l'installation et de l'octroi d'autorisations aux extensions, et supprime toute extension suspecte qu'il ne reconnaît pas ou n'a pas été utilisée depuis longtemps.