Google on poistanut Chrome Web Storestaan 34 haitallista selainlaajennusta, joiden yhteenlaskettu latausmäärä oli 87 miljoonaa. Vaikka näissä laajennuksissa oli laillisia toimintoja, ne voivat muokata hakutuloksia ja lähettää roskapostia tai ei-toivottuja mainoksia.
Viime kuussa riippumaton kyberturvallisuustutkija Wladimir Palant löysi Google Chromelle PDF Toolbox -nimisen selainlaajennuksen (2 miljoonaa latausta), jossa oli taitavasti naamioitu hämäräkoodi, jotta käyttäjät eivät tietäisi mahdollisista riskeistä.
Chrome Web Store poistaa 34 haitallista laajennusta ja 87 miljoonaa latausta
Tutkija analysoi PDF Toolbox -laajennuksen ja julkaisi yksityiskohtaisen raportin 16. toukokuuta. Hän selitti, että koodi tehtiin näyttämään lailliselta laajennuksen API-kääreeltä. Mutta valitettavasti tämä koodi salli “serasearchtop[.]com” -verkkosivustoa lisätäksesi mielivaltaisen JavaScript-koodin jokaiselle käyttäjän katsomalle verkkosivulle.
Raportin mukaan mahdollisia väärinkäytöksiä ovat hakutulosten kaappaukset sponsoroitujen linkkien ja maksettujen tulosten näyttämiseksi, jopa haitallisten linkkien tarjoaminen ajoittain ja arkaluonteisten tietojen varastaminen. Koodin tarkoitus jäi kuitenkin tuntemattomaksi, sillä Palant ei havainnut haitallista toimintaa.
Tutkija havaitsi myös, että koodi oli asetettu aktivoitumaan 24 tuntia laajennuksen asennuksen jälkeen, mikä viittaa haitallisiin aikomuksiin, raportissa mainittiin.
Jonkin sisällä jatkoartikkeli julkaistu 31.5.2023Palant kirjoitti, että hän oli löytänyt saman haitallisen koodin toisesta 18 Chrome-laajennuksesta, joiden latausmäärä on yhteensä 55 miljoonaa Chrome Web Storesta.
Jatkaessaan tutkimustaan Palant löysi kaksi koodin muunnelmaa, jotka olivat hyvin samankaltaisia, mutta pienillä eroilla:
- Ensimmäinen versio naamioituu Mozillan WebExtension-selaimen API Polyfill -sovellukseksi. Config-latausosoite on https://serasearchtop.com/cfg/
/polyfill.json, ja latauksen estävä aikaleima ensimmäisen 24 tunnin aikana on localStorage.polyfill. - Toinen variantti naamioituu Day.js-kirjastoksi. Se lataa tiedot osoitteesta https://serasearchtop.com/cfg/
/locale.json ja tallentaa muokatun aikaleiman localStorage.locale-kansioon.
Kuitenkin molemmat versiot säilyttävät tarkan mielivaltaisen JS-koodin lisäysmekanismin, johon sisältyy serasearchtop[.]com.
Vaikka tutkija ei havainnut haitallista koodia toiminnassa, hän pani merkille useita käyttäjäraportteja ja arvosteluja Web Storesta, joiden mukaan laajennukset kaappasivat hakutuloksia ja ohjasivat ne satunnaisesti muualle.
Vaikka Palant ilmoitti havainnoistaan Googlelle, laajennukset pysyivät saatavilla Chrome Web Storessa. Vasta sen jälkeen, kun kyberturvallisuusyritys Avast vahvisti Chrome-laajennusten haitallisen luonteen, hakujätti vei ne offline-tilaan.
Palantilla oli lueteltu Hänen verkkosivustollaan oli 34 haitallista laajennusta, joiden latausmäärä on yhteensä 87 miljoonaa. Tähän mennessä Google on poistanut kaikki nämä haitalliset laajennukset Chrome Web Storesta. Tämä ei kuitenkaan poista niitä automaattisesti käytöstä tai poista niiden asennusta verkkoselaimistaan. Tästä syystä käyttäjiä suositellaan poistamaan ne laitteistaan manuaalisesti.
