A Secure Annex alapítója, John Tucker az elmúlt napokban érdekes felfedezésről számolt be, ami a Chrome webböngésző bővítményeit érinti. A webböngésző-biztonsággal foglalkozó vállalat szakembere az egyik kliensének próbált technikai segítséget nyújtani bővítmények témakörében. A kliens eredetileg néhány bővítményt telepített, amelyekkel a rendszer biztonságát szerette volna monitorozni, ám úgy tűnik, a biztonság fokozása helyett inkább rontania sikerült a helyzetén, ugyanis gyanús bővítményeket telepített, amelyek biztonsági kockázatot jelenthetnek.

A bővítmények felfedezését követően a biztonságtechnikai szakember további kutatásba kezdett, amelynek során a 132 bővítmény közül két olyat is talált, amelyek nemhogy a Chrome Web Store kínálatában nem szerepelnek, de még webes keresés alkalmával sem érkezik rájuk találat. Az efféle bővítményeket a felhasználók csak közvetlen linken keresztül szerezhetik be, például különböző weboldalakról vagy fórumokról. A nem listázott bővítmények alkalmazása egyébként nem annyira szokatlan, mint ahogy elsőre hangozhat, egyes vállalkozások például arra használják az egyedi bővítményeket, hogy a belső eszközeikhez való publikus hozzáférést limitálják.

Az efféle bővítményeket előszeretettel használják a kiberbűnözők is, akik így maradnak rejtve a Google szemei elől, miközben megpróbálnak hasznot húzni a megfertőzött felhasználók rendszereiből. A szóban forgó két gyanús bővítmény ellenőrzését követően nem állt le a kutatás, további 33 darab olyan bővítményre sikerült rábukkanni, amelyek hasonlóan gyanúsak. Ezek közül több is ugyanazokhoz a szerverekhez kapcsolódik, hasonló kódmintázattal rendelkeznek, illetve ugyanazokat a jogosultságokat kérik a felhasználóktól, ami arra utal, egy bizonyos fejlesztő vagy fejlesztői kör készíthette őket.

A bővítmények számos érzékeny adathoz kérnek hozzáférést, mind például a böngészőfülekhez és ablakokhoz, a sütikhez, az adattárhoz, a riasztásokhoz, a menedzsment API-khoz, illetve szript-futtatási lehetőséget is kérnek. Ilyen szintű hozzáférést jellemzően nem szoktak kérni a normál bővítmények, viszont ennyi minden elérésével könnyen lehetőségük nyílik a kiberbűnözőknek arra, hogy felhasználják az adott rendszert saját céljaikra, például a kényes adatokhoz való hozzáféréssel.

John Tucker szerint ez az információmennyiség elég is ahhoz, hogy bármelyik cég vagy szervezet kirúgja céges környezetéből ezeket a bővítményeket, ugyanis szükségtelen kockázatot rejtenek. A bővítmények kódolása is arra utal, hogy készítőjük szerette volna elfedni, valójában mit is művelnek az egyes sorok a háttérben, ami mindenképpen gyanús. Az efféle programozási technikákkal megnehezítik az alkalmazás működésének értelmezését, ami arra utal, nem jó szándékkal készült az adott szoftver.

A szóba forgó 35 bővítményt összesen 4 milliónál is több alkalommal telepítették a felhasználók, ami rendkívül nagy mennyiség, főleg úgy, hogy ezek a bővítmények nem jelennek meg a keresésekben, így nem sok feltűnést keltenek. A 35 bővítményből 10 olyat talált a szakember, amelyek tartalmazzák a Google „Featured” jelölését, ami arra utal, hogy biztonságos, megbízható, hasznos szoftverről van szó. Az rejtély, mennyire segítette a bővítmények terjesztését ez a jelölés, de valószínűleg hozzájárult ahhoz, hogy többen bízzanak bennük.

További érdekes adalék, hogy a bővítmények közül az egyik, a Fire Sield Extension Protection, ami fejlesztője ígérete szerint azt a célt szolgálja, hogy gyanús vagy kártékony Chrome bővítmények után kutat az adott rendszere, tartalmaz egy JavaScript fájlt, ami képes adatfeltöltésre, valamint kódok és utasítások letöltésére, méghozzá több gyanús domainen keresztül, amelyek közül az egyik az unknown.com nevet viseli.

Ez utóbbi domain azért is érdekes, mert mind a 35 bővítmény fedélzetén jelen van, de egyelőre nincs konkrét funkciója, sőt, a Whois keresés alapján még elérhető és meg is vásárolható, ami kifejezetten fura. Olyan, mintha ezt a domaint csak „placeholderként” alkalmaznák, amíg az irányításra és az adatfogadásra való domaint elő nem készítenék, de ez csak saját vélemény. Az biztos, hogy az unknown. com egy olyan közös nevező, ami nagyon hasznos lehet a bővítmények összekapcsolásához.

A vizsgált és gyanúsnak ítélt bővítmények listája az alábbi felsorolásban olvasható:

Ha a fentiek közül bármelyik bővítményt telepítettük korábban, érdemes haladéktalanul eltávolítani, ugyanis biztonsági kockázatot rejt.

A témában további információk a Secure Annex weboldalán keresztül érhetőek el.