Peste o sută de extensii dăunătoare identificate în Chrome Web Store - Analiza evidențiază insuficiența controalelor de securitate ale Google

Peste 100 de extensii dăunătoare din Chrome Web Store au fost legate de furt de date și preluare de conturi , într-un caz care pune sub semnul întrebării eficiența verificărilor făcute de Google înainte de publicarea add-on-urilor, potrivit WinFuture . Investigația a fost realizată de compania de securitate Socket , care susține că extensiile identificate fac parte dintr-o campanie coordonată, cu infrastructură comună de comandă și control (servere folosite pentru a trimite instrucțiuni către software-ul malițios). Scopurile atribuite extensiilor includ furtul de date sensibile, deturnarea de conturi și fraudă publicitară. Cum au fost „ambalate” extensiile ca să atragă instalări Conform cercetătorilor, extensiile au fost publicate sub cinci identități diferite de dezvoltator și plasate în mai multe categorii, pentru a maximiza numărul de instalări. Printre exemplele menționate se numără: presupuse instrumente pentru o bară laterală în Telegram; simulări de jocuri de noroc (de tip slot machines sau Keno); extensii care pretind că îmbunătățesc conținutul YouTube și TikTok; programe de traducere și diverse utilitare. Ce pot face: de la „session hijacking” la comenzi rulate pe dispozitiv În centrul campaniei ar exista o infrastructură de servere operată printr-un server virtual al furnizorului de găzduire Contabo, de unde ar fi coordonate mai multe acțiuni malițioase, inclusiv: deturnarea sesiunilor (preluarea unei sesiuni autentificate, fără parolă); colectarea de date de identitate; executarea de comenzi pe dispozitivele afectate. Un element considerat deosebit de critic în raport este citirea tokenurilor OAuth2 de tip „bearer” (tokenuri de acces care permit unei aplicații să acționeze în numele utilizatorului). Socket arată că, împreună cu date precum adresa de e-mail, fotografia de profil și numărul contului, atacatorii ar putea obține acces extins la conturi Google. Unele extensii ar manipula și interfața browserului prin injectare de cod, iar altele ar include funcții ascunse care se activează automat la pornirea browserului și preiau comenzi de la serverul de control. De ce contează: reacția lentă și riscul de compromitere „invizibilă” a conturilor Un caz descris ca „deosebit de alarmant” vizează o extensie care ar citi și chiar ar putea înlocui sesiuni din Telegram Web, ceea ce ar permite preluarea discretă a conturilor. Cercetătorii spun că indicii din cod ar sugera o structură de tip „malware-as-a-service” (malware oferit ca serviciu) cu elemente în limba rusă. Potrivit raportului, deși Google a fost notificat, multe dintre extensiile dăunătoare erau încă disponibile recent în Chrome Web Store, ceea ce ridică un risc operațional direct pentru utilizatori și companii: o extensie instalată pe un browser folosit la serviciu poate deveni o cale de acces către conturi și date, fără semne evidente la prima vedere. [...]