Google usunął właśnie 32 szkodliwe rozszerzenia dla przeglądarki Google Chrome. Każde mogło nieźle namieszać na milionach komputerów.
Rozszerzenia udają przydatne narzędzia i nawet robią to, co do nich należy. Właściwie można by było normalnie z nich korzystać, gdyby nie jeden szczegół. Każde z 32 szkodliwych rozszerzeń zawierało zakamuflowany, szkodliwy kod. Skala zjawiska jest poważna. Te 32 rozszerzenia zaliczyły w Chrome Web Store w sumie aż 75 milionów pobrań.
By w pełni wyjaśnić, co się stało, musimy cofnąć się do połowy maja. Wtedy to analityk Wladimir Palant z firmy Avast przeanalizował popularne rozszerzenie PDF Toolbox (2 mln pobrań) i zauważył, że to, co wygląda na normalny wrapper API jest w rzeczywistości „strzykawką”. Z jej pomocą można wstrzyknąć skrypty z zewnątrz (z domeny serasearchtop[.]com) do dowolnej odwiedzanej strony i wykonać, jakby z niej właśnie pochodziły. Szkodliwa aktywność uruchamiała się dopiero po 24 godzinach po instalacji rozszerzenia, więc użytkownik mógł nie skojarzyć faktów..
Co ciekawe, Palant nie zaobserwował wtedy żadnej złośliwej aktywności ze strony obiektu swoich badań. Potencjał został niewykorzystany.
Kilka dni później ten sam badacz znalazł ten sam podejrzany kod w kolejnych 18 rozszerzeniach. To dało w sumie już 55 milionów pobrań. Wtedy jeszcze rozszerzenia były dostępne w Chrome Web Store. Kod był maskowany na dwa sposoby, ale była to ta sama funkcja-strzykawka.
Zobacz: Chromecast umarł. Koniec pewnej epoki
Znów nie było widać żadnej szkodliwej aktywności, ale do Avasta spływały już doniesienia o nadmiarowych przekierowaniach i problemach z wyszukiwaniem w Google Chrome. Zamiast wyników wyszukiwania użytkownicy widzieli różnego typu reklamy, a sporadycznie nawet szkodliwe strony. Po nitce do kłębka specjaliści doszli do winnych temu rozszerzeń. Google otrzymał zgłoszenie, ale rozszerzenia nadal były dostępne w Chrome Web Store.
2 czerwca znaleziono już 32 rozszerzenia, pobrane łącznie 75 milionów razy. Avast ponownie przekazał listę do Google’a i jeszcze zanim została upubliczniona, rozszerzeń nie było w Chrome Web Store.
Warto tu zaznaczyć, że choć 75 mln pobrań wygląda przerażająco, raczej nie jest to liczba prawdziwa. Cyberprzestępcy mają w zwyczaju sztucznie pompować statystyki, by ich „dzieła” wyglądały na popularne.
Fakt, że rozszerzenia wyleciał z Chrome Web Store nie oznacza, że użytkownicy przeglądarki Google są bezpieczni (Avast zneutralizował zagrożenie na komputerach klientów, ale na tym kończy się moc firmy). Jeśli ktoś ma już rozszerzenie na swoim komputerze, musi je usunąć samodzielnie. Pełna lista znajduje się w raporcie firmy Avast.
Źródło zdjęć: Shutterstock
Źródło tekstu: Google
