Potrivit analizelor făcute de experţi în securitate asupra celor peste 48000 extensii pentru Google Chrome aflate în circulaţie, multe dintre acestea sunt folosite pentru comiterea de fraude şi interceptarea datelor sensibile introduse de utilizatori. În majoritatea cazurilor activităţile desfăşurate clandestin trec neobservate de utilizatori obişnuiţi.
Analiza care urmează să fie prezentată în detaliu cu ocazia simpozionului Usenix Security organizat în oraşul american San Diego indică o tendinţă de înmulţire a atacurilor desfăşurate cu ajutorul extensiilor, pe măsură ce infractorii online îşi concentrează eforturile spre a face profit de pe urma abundenţei de informaţii sensibile conţinute în browsere web.
Potrivit setului preliminar de rezultate, cel puţin 130 extensii pentru Google Chrome sunt folosite în scop maliţios, iar alte 4712 extensii atrag atenţia prin activităţi suspicioase, indicând posibile fraude. Printre activităţile vizate se numără furtul datelor de autentificare pentru conturile deţinute de utilizatori, interceptare datelor folosite la completarea de formulare, fraudă prin reclame şi abuzuri comise prin intermediul reţelelor de socializare.
Potrivit lui Alexandros Kapravelos, candidat pentru doctorat la Universitatea din California – Santa Barbara, instalarea unei extensii infectate nu semnalează probleme imediate pentru utilizatori, activităţile maliţioase fiind declanşate de acţiuni specifice, cum ar fi vizitarea unui website ţintit de atacatori.
Pentru investigarea extensiilor suspicioase cercetătorii au creat un sistem numit Hulk, capabil să monitorizeze îndeaproape modul în care extensiile instalate interacţionează cu diverse website-uri. Activitatea de investigare include şi servirea de aşa numite HoneyPages – pagini web cu rol de momeală concepute pentru a scoate la iveală orice comportament dubios.
Deoarece extensiile au rolul de a extinde funcţionalitatea web browser-ului, creatorii acestora pot solicita o largă varietate de permisiuni pentru accesul la funcţii controlate de API-urile Google Chrome. Spre exemplu, anumite funcţii permit extensiilor să intercepteze solicitările pentru pagini Web primite de browser, injectând apoi cod JavaScript maliţios în paginile legitime pe care le vizităm. Potrivit lui Kapravelos, aceste permisiuni aduc prea mult control la îndemâna dezvoltatorilor de extensii pentru Chrome, impunând o verificare mai atentă a celora cale le solicită.
Printre exemple, avem extensii capabile să modifice sau adauge parametrii adreselor URL în scopul de a facilita fraudarea sistemelor de marketing afiliat, inserând link-uri şi bannere suplimentare cu reclame în paginile web. Alte extensii duc lucrurile şi mai departe substituind reclamele legitime din pagini web cu alternative proprii. Adresată pieţei din China, o extensie descărcată până acum pe 5.5 milioane dispozitive a fost descoperită trimiţând istoricul de navigare al utilizatorilor unui server aflat la distanţă, folosind simple conexiuni necriptate.
Pe durata studiului cercetătorii au colaborat îndeaproape cu Google, în speranţa ca descoperirile făcute să ajute la îmbunătăţirea testelor folosite de companie în procesul de validare a extensiilor pentru includere în Chrome Web Store. Printre măsurile deja luate pentru îmbunătăţirea controlului asupra extensiilor Google Chrome avem înăsprirea procedeului de „side loading”, folosit pentru instalarea de extensii care nu provin din magazinul Web Store oficial.
Din fericire dintre extensiile suspicioase descoperite până acum, unele având deja milioane de descărcări, foarte puţine au fost detectate încercând să interfereze cu sesiunile de online banking, sau interceptând tastatura dispozitivului. Totuşi, nu este exclus ca astfel de rutine să fie prezente în formă ascunsă, aşteptând o acţiune sau elementul declanşator potrivit.