John Tucker, fondatorul Secure Annex, a raportat recent o descoperire interesantă cu privire la extensiile browserului web Chrome. Expertul în securitate încerca să ofere asistență tehnică cu privire la extensii unuia dintre clienții săi. Clientul instalase inițial câteva extensii pentru a monitoriza securitatea sistemului, dar în loc să îmbunătățească securitatea, se pare că a înrăutățit lucrurile prin instalarea unor extensii care purtau riscuri.

În urma descoperirii acestor extensii, inginerul de securitate a efectuat cercetări suplimentare, și a găsit două dintre cele 132 extensii care nu numai că nu erau listate în Chrome Web Store, dar nici măcar nu erau găsibile pe internet. Astfel de extensii pot fi obținute de utilizatori numai prin intermediul unor descărcări directe. Utilizarea extensiilor nelistate nu este atât de neobișnuită pe cât poate părea la prima vedere; de exemplu, unele companii utilizează extensii personalizate pentru a limita accesul publicului la instrumentele lor interne.

Astfel de extensii sunt utilizate și de infractorii cibernetici, care le folosesc pentru a rămâne ascunși de Google în timp ce încearcă să exploateze sistemele utilizatorilor afectați. Investigația nu s-a oprit după verificarea celor două extensii suspecte, au fost găsite alte 33 problematice. Mai multe dintre acestea sunt legate de aceleași servere, au modele de cod similare, și solicită utilizatorilor aceleași la privilegii, ceea ce sugerează că ar fi putut fi create de un anumit dezvoltator sau grup de dezvoltatori.

Plug-in-urile solicită acces la o varietate de date sensibile, cum ar fi filele și ferestrele browserului, modulele cookie, depozitul de date, alertele, API-urile de gestionare și executarea de scripturi. Acest nivel de acces nu este solicitat în mod obișnuit de plug-in-urile normale, dar având acces la atât de multe și importante, este ușor pentru infractorii cibernetici să exploateze sistemul în scopuri proprii.

Potrivit lui John Tucker, această cantitate de informații este suficientă pentru ca orice companie sau organizație să elimine aceste extensii din mediul lor corporativ, deoarece reprezintă un risc adițional extrem de mare și nejustificat. Modul în care s-a făcut codarea este prin metode care folosesc obsfurcare, și indică că creatorii acestora au dorit să ascundă codurile care rulează în fundal, ceea ce este absolut suspect. Astfel de tehnici de codificare se folosesc doar în aplicații malițioase și îngreunează enorm detectarea lor de sisteme automatizate, cum ar fi antivirușii, ceea ce indică clar că software-ul nu a fost conceput cu intenții bune.

În total, cele 35 extensii au fost instalate de mai mult de 4 milioane ori de către utilizatori neștiutori, ceea ce reprezintă un număr extrem de mare, mai ales că acestea nu apar în căutări, și prin urmare, nu atrag prea multă atenție. Din cele 35, s-a constatat că 10 conțin emblema Google "Featured", ceea ce ar indica faptul că sunt aplicații sigure, fiabile și utile. Este un mister cât de mult au fost ajutate extensiile să se răspândească prin acesta, dar probabil că a contribuit la creșterea încrederii în ele.

Un alt addendum interesant este că una dintre extensii, Fire Sield Extension Protection, despre care dezvoltatorul său promite că este proiectată să scaneze sistemul pentru extensii Chrome suspecte sau rău intenționate, conține un fișier JavaScript care poate încărca date și descărca coduri și instrucțiuni prin intermediul mai multor domenii suspecte, dintre care unul este unknown.com.

Acest din urmă domeniu este interesant deoarece este prezent în toate cele 35 extensii, dar nu are încă nici o funcționalitate specifică, și este chiar disponibil pentru cumpărare, conform unei căutări Whois, ceea ce este foarte ciudat. Se pare că acest domeniu este folosit doar ca un "placeholder" până când este gata domeniul pentru gestionarea și primirea datelor, dar aceasta este doar o părere personală.

Iată lista extensiilor suspecte:

Dacă ați instalat oricare dintre extensiile de mai sus, ar fi indicat a le elimina imediat. Puteți găsi mai multe informații pe această temă prin site-ul Secure Annex.