Удалите немедленно: найдены 35 расширений для Chrome, которые содержат скрытый код слежки

Александр Гайдамашко

Основные тезисы

Исследователь из Secure Annex обнаружил 58 Chrome-расширений с рискованными механизмами сбора данных, из которых 35 содержат замаскированный код для слежки за пользователями.
Google знает о проблеме и расследует ситуацию. Пользователям рекомендуется удалить подозрительные расширения и сменить пароли.
Расширения, вероятно, распространяются через агрессивную рекламу и сомнительные сайты, маскируясь под полезные инструменты для защиты конфиденциальности.

Список вредоносных расширений для Chrome, которые следят за пользователями через браузер

Chrome / Коллаж 24 Канала

Исследователь обнаружил 57 Chrome-расширений с крайне подозрительным поведением. По меньшей мере 35 из них содержат скрытый код для слежения за действиями пользователя. Расширения имеют доступ к cookies, могут изменять поисковые настройки, удаленно выполнять скрипты и отслеживать частную информацию. Список этих расширений – далее.

Опасные расширения

Исследователь из компании Secure Annex, Джон Такнер, обнаружил 58 расширений для Chrome, которые используют рискованные механизмы сбора данных. Эти дополнения в целом установили уже более 6 миллионов пользователей. По словам Такнера, по меньшей мере 35 из них содержат замаскированный код, способен следить за поведением пользователя в браузере, получать доступ к cookies, включая данные авторизации, а также потенциально выполнять удаленные сценарии на страницах, сообщает 24 Канал со ссылкой на BleepingComputer.

Особенностью выявленных расширений является то, что они скрыты – их невозможно найти через поиск в Chrome Web Store или с помощью поисковых систем. Их можно установить только по прямой ссылке. Формально такие расширения могут быть внутренними инструментами компаний или находиться на этапе разработки, однако злоумышленники часто злоупотребляют этой механикой. По словам исследователя, вредоносные расширения могут распространяться через агрессивную рекламу или сомнительные сайты.

Первоначальное подозрение вызвало расширение с названием Fire Shield Extension Protection. Его код был запутан, а встроенные API-запросы передавали собранные с браузера данные на сервер через домен unknow.com. Дальнейший анализ позволил обнаружить еще несколько расширений, связанных с этим доменом. Часть из них якобы предоставляет услуги блокировки рекламы или защиты конфиденциальности, но при этом они имеют слишком широкие разрешения, которые позволяют им:

Считывать cookies, в частности авторизационные токены.
Отслеживать онлайн-активность пользователя.
Изменять поисковые системы и их результаты выдачи.
Встраивать и запускать скрипты на сайтах.
Удаленно активировать дополнительные функции слежения.

Хотя Такнер отметил, что не обнаружил краж паролей или cookies, уже сам факт наличия подобного функционала, запутанной структуры кода и скрытых механизмов вызывает беспокойство. По его словам, в некоторых из расширений также есть возможность составлять список наиболее посещаемых сайтов, открывать и закрывать вкладки, запускать другие подозрительные функции в специальном "расширенном режиме".

Больше всего настораживает то, что расширения маскируются под полезные инструменты, которые якобы защищают пользователей от опасного софта.

17 апреля к первоначальному списку из 35 вредоносных дополнений исследователь добавил еще 23, доведя общее количество до 58. Часть из них, замечает он, до сих пор доступна в Chrome Web Store, хотя некоторые уже были удалены после публикации предыдущего отчета.

Сейчас список выглядит так:

Fire Shield Secure Search
Fire Shield Chrome Safety.
Safe Search for Chrome.
Fire Shield Extension Protection.
Browser Checkup for Chrome by Doctor.
Protecto for Chrome.
Unbiased Search by Protecto.
Securify Your Browser.
Web Privacy Assistant.
Securify Kid Protection.
Bing Search by Securify.
Browse Securely for Chrome.
Better Browse by SecurySearch.
Check My Permissions for Chrome.
Website Safety for Chrome.
MultiSearch for Chrome.
Global search for Chrome.
Map Search for Chrome.
Watch Tower Overview.
Incognito Shield for Chrome.
In Site Search for Chrome.
Privacy Guard for Chrome.
Yahoo Search by Ghost.
Private Search for Chrome.
Total Safety for Chrome.
Data Shield for Chrome.
Browser WatchDog for Chrome.
Incognito Search for Chrome.
Web Results for Chrome.
Cuponomia - Coupon and Cashback.
Securify for Chrome.
Securify Advanced Web Protection.
News Search for Chrome.
SecuryBrowse for Chrome.
Browse Securely for Chrome.
Choose Your Chrome Tools.
Securify Viewpoint Search.
Quick Manuals for Chrome.
Search Images on Chrome.
Givero Search for Chrome.
Secured Connection by SecuryBrowse.
AI Browser Manager.
Protected Browsing on Chrome.
ChatGPT Search for Chrome.
Games Search for Chrome.
Address Checker for Chrome.
Recipe Search for Chrome.
Search Safely by SecurySearch.
SecurySearch for Chrome.
Website Orientations.
Protecto Whois Search.
Productive Search for Chrome.
Secure Search for Chrome.
Yahoo SecurySearch.
ProtectMyInfo for Chrome.
Secured Connection by SecuryBrowse.
Advanced Search for Chrome.
New Tab for Chrome.

Такнер советует пользователям немедленно удалить любое из подозрительных расширений, если оно установлено, и из соображений безопасности изменить пароли к своим учетным записям. Кроме того, стоит проверить, какие устройства подключены сейчас к вашим аккаунтам на сервисах.

Google говорит, что знает о ситуации и проводит собственное расследование. Разработчики расширений пока не ответили на запросы журналистов BleepingComputer относительно запутанного кода.