Συναγερμός έχει σημάνει στη διαδικτυακή κοινότητα μετά την αποκάλυψη ότι δημοφιλείς επεκτάσεις του Chrome Web Store, με πάνω από 1,7 εκατομμύρια εγκαταστάσεις συνολικά, ενδέχεται να κατασκοπεύουν χρήστες, να καταγράφουν τη δραστηριότητα τους στο διαδίκτυο και να τους ανακατευθύνουν σε επικίνδυνες ιστοσελίδες.
Σύμφωνα με την εταιρεία κυβερνοασφάλειας Koi Security, οι επεκτάσεις αυτές – που παρουσιάζονται ως φαινομενικά ακίνδυνα εργαλεία όπως VPN, εργαλεία επιλογής χρωμάτων, πληκτρολόγια emoji και ενισχυτές έντασης ήχου – ενσωμάτωναν κακόβουλο κώδικα.
Οι κακόβουλες επεκτάσεις στο Chrome Web Store
Ανάμεσα στις επεκτάσεις που εντοπίστηκαν περιλαμβάνονται οι εξής:
- Color Picker, Eyedropper — Geco colorpick
- Emoji keyboard online — copy&paste your emoji
- Free Weather Forecast
- Video Speed Controller — Video manager
- Unlock Discord — VPN Proxy to Unblock Discord Anywhere
- Dark Theme — Dark Reader for Chrome
- Volume Max — Ultimate Sound Booster
- Unblock TikTok — Seamless Access with One-Click Proxy
- Unlock YouTube VPN
- Unlock TikTok
- Weather
Ορισμένες από τις επεκτάσεις δεν υπάρχουν πλέον, αλλά πολλές από αυτές εξακολουθούν να είναι διαθέσιμες.
Επίσης, αρκετές είναι επαληθευμένες, έχουν εκατοντάδες θετικές κριτικές και εμφανίζονται σε περίοπτη θέση στο Chrome Web Store, παραπλανώντας τους χρήστες σχετικά με την ασφάλειά τους.
Σύμφωνα με τους ερευνητές, η κακόβουλη λειτουργικότητα υλοποιείται στον background service worker κάθε επέκτασης χρησιμοποιώντας το Chrome Extensions API, εγγράφοντας έναν listener που ενεργοποιείται κάθε φορά που ένας χρήστης μεταβαίνει σε μια νέα ιστοσελίδα. Ο listener καταγράφει τη διεύθυνση URL της σελίδας και μεταφέρει τις πληροφορίες σε έναν απομακρυσμένο διακομιστή μαζί με ένα μοναδικό αναγνωριστικό παρακολούθησης για κάθε χρήστη.
Ο διακομιστής μπορεί να απαντήσει με διευθύνσεις URL ανακατεύθυνσης, παραβιάζοντας τη δραστηριότητα περιήγησης του χρήστη και ενδεχομένως μεταφέροντάς τον σε μη ασφαλείς τοποθεσίες.
Το κακό ήρθε με την ενημέρωση
Οι ερευνητές της Koi Security τόνισαν πως οι πρώτες εκδόσεις των επεκτάσεων δεν περιείχαν κακόβουλο κώδικα, αλλά αυτός προστέθηκε μεταγενέστερα μέσω ενημερώσεων. Δεδομένου ότι το Chrome ενημερώνει τις επεκτάσεις αυτόματα, οι χρήστες δεν είχαν κανέναν τρόπο να αντιληφθούν την ενημέρωση των εργαλείων τους.
Ορισμένες από αυτές τις επεκτάσεις ήταν ασφαλείς για χρόνια, οπότε είναι πιθανό να είχαν παραβιαστεί από εξωτερικούς παράγοντες που εισήγαγαν τον κακόβουλο κώδικα.
Επέκταση της απειλής και στο Edge Store
Η Koi Security επισημαίνει πως αντίστοιχες κακόβουλες επεκτάσεις εντοπίστηκαν και στο Microsoft Edge Add-ons Store, με άλλες 600.000 λήψεις. Συνολικά, η εκστρατεία hijacking φαίνεται να έχει επηρεάσει πάνω από 2,3 εκατομμύρια χρήστες (στους δύο browsers), αποτελώντας μια από τις μεγαλύτερες επιθέσεις μέσω browser extensions που έχουν καταγραφεί ποτέ.
Τι να κάνετε για να προστατευτείτε
Οι ειδικοί προτείνουν στους χρήστες να:
- Αφαιρέσουν άμεσα τις ύποπτες επεκτάσεις
- Διαγράψουν το ιστορικό περιήγησης και τα cookies
- Ελέγξουν το σύστημά τους για πιθανό malware
- Παρακολουθούν στενά τους λογαριασμούς τους για ασυνήθιστη δραστηριότητα
Απαραίτητη είναι και η χρήση αξιόπιστων λογισμικών ασφαλείας και η τακτική ενημέρωση του λειτουργικού συστήματος και των εφαρμογών.
Η υπόθεση αυτή έρχεται να τονίσει τα όρια και τις αδυναμίες της πλατφόρμας διανομής επεκτάσεων της Google, καθώς και την ανάγκη για πιο αυστηρό έλεγχο και διαφάνεια στις ενημερώσεις.
Η Google έχει ήδη αφαιρέσει κάποιες από τις επεκτάσεις, ενώ για άλλες η διερεύνηση συνεχίζεται. Μέχρι τότε, η επιφύλαξη παραμένει η καλύτερη άμυνα.
πηγή: bleepingcomputer.com
