Десятки вредоносных расширений в Chrome Web Store

Не так давно в Chrome Web Store — официальном магазине расширений для браузера Google Chrome — были обнаружены несколько десятков вредоносных плагинов. Наиболее популярное из этих расширений имело более 9 миллионов загрузок, а суммарно все эти плагины были загружены около 87 миллионов раз. Рассказываем, что это за расширения и чем они опасны.

Несколько десятков вредоносных расширений в Chrome Web Store

Все началось с того, что исследователь кибербезопасности Владимир Палант обнаружил в магазине Chrome Web Store расширение под названием PDF Toolbox, содержащее подозрительный код. На первый взгляд это был вполне респектабельный плагин для конвертации офисных документов и для проведения ряда других несложных операций с файлами формата PDF.

У PDF Toolbox была внушительная пользовательская база и хорошие оценки: около двух миллионов загрузок и средняя оценка 4,2. Однако внутри этого расширения обнаружилась интересная «дополнительная функциональность»: плагин обращался к сайту с адресом serasearchtop[.]com и подгружал с него произвольный код на все страницы, которые просматривал пользователь.

Далее исследователь поискал в Chrome Web Store другие расширения, обращающиеся к данному серверу, и нашел пару десятков родственных PDF Toolbox плагинов с суммарным количеством загрузок 55 миллионов.

Наконец, располагая большим количеством образцов вредоносных расширений, он провел еще более тщательный поиск по официальному магазину Google и в итоге обнаружил 34 зараженных расширения с совершенно разнообразной основной функциональностью. Суммарное количество их загрузок составило уже 87 миллионов. Наиболее популярным из найденных плагинов был Autoskip for Youtube. Его скачали 9 миллионов раз.

Расширения были загружены в Chrome Web Store в 2021 и 2022 годах, то есть на момент исследования находились в официальном магазине от полугода и более. Причем среди отзывов к некоторым из них обнаружились жалобы бдительных пользователей, которые рассказывали, что эти расширения подменяют адреса в поисковой выдаче на рекламные. Как несложно понять, эти жалобы были оставлены модераторами Chrome Web Store без внимания.

После публикации исследования Паланта, а также еще одной работы на ту же тему от другой группы экспертов сотрудники Google все же удалили опасные расширения из официального магазина. Но, как видите, для того чтобы привлечь их внимание к проблеме, потребовался авторитет нескольких известных специалистов. Кстати, очень похожим образом обстоят дела и с Google Play — жалобы обычных пользователей на вредоносные приложения обычно ни к чему не приводят.

Почему вредоносные браузерные расширения особенно опасны

Если вкратце, то с браузерными расширениями есть три серьезные проблемы. Первая проблема — это тот уровень доступа к пользовательским данным, который они имеют. По сути, чтобы нормально работать — то есть в принципе быть полезным — любому плагину обычно нужно всего одно разрешение. Но зато какое! Это разрешение называется Просмотр и изменение ваших данных на всех сайтах.

Да-да, это означает именно то, что написано. Браузерные плагины, как правило, запрашивают разрешение на просмотр всех ваших данных на всех сайтах и изменение всех данных на всех сайтах. То есть браузерное расширение видит совершенно все ваши действия на тех сайтах, которые вы открываете, и может произвольным образом менять содержимое отображаемой страницы.

Вот какие возможности это потенциально открывает для создателей расширений:

• Следить за всеми действиями пользователя, чтобы собирать и продавать информацию о них.
• Воровать данные карт или логины и пароли от аккаунтов.
• Вставлять на страницы рекламу.
• Подменять ссылки в поисковой выдаче (как это и было в описанном выше случае).
• Подменять домашнюю страницу браузера собственной, с рекламными ссылками.

Кстати, зловредные функции плагина могут меняться с течением времени — в зависимости от текущих целей его владельцев. Да и сами владельцы — величина не постоянная: бывали случаи, когда вредоносная функциональность появлялась у ранее совершенно безопасного расширения после того, как его создатели продавали плагин новым хозяевам.

Вторая проблема: пользователи не так уж задумываются об опасности браузерных расширений, охотно устанавливают их пачками и беззаботно выдают им разрешение на просмотр и изменение любых данных в браузере. Ну а что им остается? Ведь если не дать это разрешение, то плагин просто не будет работать.

В теории следить за безопасностью расширений должны модераторы магазинов, в которых эти плагины размещаются. Но — третья проблема — как вы можете понять из приведенной выше истории, они делают это не особенно тщательно. В итоге вредоносные расширения десятками пролезают даже в официальный Chrome Web Store. И могут годами оставаться в магазинах, несмотря на жалобы пользователей в отзывах.

Что делать пользователям, установившим вредоносное расширение

Необходимо также иметь в виду, что изгнание плагина из магазина совсем не означает, что оно будет автоматически удалено с устройств всех установивших его пользователей. Поэтому стоит проверить, не установлено ли у вас одно из вредоносных расширений. Если вы обнаружите у себя плагин из приведенного ниже списка, следует его сразу удалить и найти ему безопасную замену:

• Autoskip for Youtube
• Soundboost
• Crystal Ad block
• Brisk VPN
• Clipboard Helper
• Maxi Refresher
• Quick Translation
• Easyview Reader view
• PDF toolbox
• Epsilon Ad blocker
• Craft Cursors
• Alfablocker ad blocker
• Zoom Plus
• Base Image Downloader
• Clickish fun cursors
• Cursor-A custom cursor
• Amazing Dark Mode
• Maximum Color Changer for Youtube
• Awesome Auto Refresh
• Venus Adblock
• Adblock Dragon
• Readl Reader mode
• Volume Frenzy
• Image download center
• Font Customizer
• Easy Undo Closed Tabs
• Screence screen recorder
• OneCleaner
• Repeat button
• Leap Video Downloader
• Tap Image Downloader
• Qspeed Video Speed Controller
• HyperVolume
• Light picture-in-picture

Это список был составлен уже упомянутым нами Владимиром Палантом. Он же отмечает, что перечень вредоносных плагинов может быть неполным. Поэтому стоит с осторожностью относиться и к другим разрешениям.

Как защититься от вредоносных браузерных расширений

Теперь дадим несколько советов на перспективу. Данная история отлично показывает, что не стоит безоговорочно рассчитывать на бдительность модераторов площадок, откуда вы загружаете расширения для своих браузеров. Лучше принять некоторые меры предосторожности самостоятельно. Вот как можно обезопасить себя от вредоносных плагинов:

• Не устанавливайте слишком много браузерных расширений. Чем их меньше — тем безопаснее.
• Перед установкой расширения почитайте отзывы о нем. Конечно, это не гарантия безопасности, но в некоторых случаях поможет выявить вредоносные плагины.
• Время от времени просматривайте список установленных расширений и удаляйте те, которыми не пользуетесь.
• Используйте надежную защиту на всех ваших устройствах.