گوگل پس از آنکه متوجه شد ۵۰۰ افزونهی کروم تبلیغات مخرب تزریق میکنند و دادههای مرور کاربران را به سرورهای تحت کنترل مهاجمان انتقال می دهند، آنها را از فروشگاه وب خود حذف کرد. این افزونهها بخشی از یک پویش تبلیغاتی و کلاهبرداری تبلیغاتی بودند که حداقل از ماه ژانویهی سال ۲۰۱۹ میلادی فعالیت میکردند، هر چند شواهد نشان میدهد که عامل پشت پردهی این طرح احتمالاً از سال ۲۰۱۷ میلادی فعال بوده است.
این یافتهها بخشی از یک تحقیق مشترک توسط یک پژوهشگر امنیتی و Duo Security سیسکو است که ۷۰ افزونهی کروم را با بیش از ۱٫۷ میلیون بار نصب کشف کرده است. پس از به اشتراک گذاشتن این یافتهها بهطور خصوصی با گوگل، این شرکت به دنبال شناسایی ۴۳۰ افزونهی مرورگر مشکلدار دیگر بود که همهی آنها از آن زمان غیرفعال شدهاند.
این گزارش بیان میکند که برتری تبلیغافزار بهعنوان یک بردار حمله با همهگیر شدن تبلیغات مبتنیبر ردیابی و عدم استفادهی کاربران از سازوکارهای محافظت همچنان ادامه دارد. پژوهشگران با استفاده از ابزار ارزیابی امنیت افزونهی کروم Duo Security توانستند ثابت کنند که افزونههای مرورگر با اتصال ناگهانی کلاینتهای مرورگر به یک سرور دستور و کنترل تحت کنترل مهاجم کار میکنند و امکان استخراج دادههای مرور خصوصی کاربر را بدون اطلاع او فراهم میکنند.
این افزونهها که تحت پوشش تبلیغات و خدمات تبلیغاتی عمل میکنند، کد منبع تقریباً یکسانی دارند، اما نام توابع آنها متفاوت است و درنتیجه سازوکارهای شناسایی فروشگاه وب کروم را دور میزند.
این افزونهها علاوهبر درخواست مجوزهای گسترده که دسترسی به کلیپبورد و همهی کوکیهای ذخیرهشده بهصورت محلی در مرورگر را اعطا میکند، بهصورت دورهای به یک دامنه متصل میشوند که همان نام را بهعنوان افزونه به اشتراک میگذارند تا دستورالعملهای مربوط به حذف آنها را از مرورگر بررسی کنند. پس از برقراری تماس اولیه با وبگاه، این افزونهها با یک دامنهی C2 تماس برقرار میکنند تا منتظر دستورات بعدی و مکانهایی برای بارگذاری دادهی کاربر باشند و فهرستهای بهروزرسانیشدهی تبلیغات مخرب و دامنههای تغییرمسیر را که نشستهای مرور کاربران را به ترکیبی از وبگاههای فیشینگ و قانونی هدایت میکند، دریافت کنند.
در این گزارش بیان شده است که بیشتر این افزونهها جریانهای تبلیغاتی بیخطر هستند. برخی از این تبلیغات ممکن است قانونی در نظر گرفته شوند، بااینحال در ۶۰ تا ۷۰ درصد از زمانهایی که یک تغییر مسیر اتفاق میافتد، جریانهای تبلیغاتی به یک وبگاه مخرب ارجاع میدهند.
این اولین بار نیست که افزونههای سرقت داده در مرورگر کروم کشف شده است. ماه جولای سال گذشته یکی از پژوهشگران و واشنگتن پست یک افشای اطلاعاتی بزرگی به نام DataSpii را کشف کردند که توسط افزونههای کروم و فایرفاکس نصبشده در مرورگرهای بیش از چهار میلیون کاربر انجام شده بود.
این افزونهها فعالیت مرور را جمعآوری میکردند و با یک کارگزار دادهی شخص ثالث نامعلوم به اشتراک میگذاشتند که آن را به یک شرکت تجزیه و تحلیلی به نام Nacho Analytics ارسال میکرد و سپس دادههای جمعآوریشده را به مشترکین خود میفروخت.
گوگل از ۱۵ اکتبر سال ۲۰۱۹ میلادی افزونهها را ملزم میکند تا تنها دسترسی به حداقل مقدار داده را درخواست کنند و هر افزونهای را که یک سیاست حفظ حریم خصوصی نداشته باشد و دادههای مربوط به عادتهای مرور کاربران را جمعآوری کند، ممنوع کند.
