Google свали над 500 измамни разширения, ползвани от 1.7 млн. души

4
2107

Google премахна 500 разширения за браузъра Chrome, в отговор на доклад. В него е посочено, че разширенията, разпространявани чрез Chrome Web Store, крадат информация и показват измамни реклами.

Диагнозата е поставена чрез безплатния инструмент за анализ CRXcavator. Той се появи миналата година, създаден от Duo Security на Cisco. Изтритите разширения имат общи черти в архитектурата си. Те инфектират потребителя и източват информация чрез malvertising, докато се опитват да се скрият от Google.

“Създателите на разширенията манипулират рекламната функционалност на потребителите. Така браузърът на заразения се свързва с командна структура, която извлича информация за сърфирането, без знанието на потребителя. Създадени са механизми, които да опитат да заобиколят механизмите за засичане на нередности в Chrome Web Store.”, обясняват от Duo Security в блог публикация.

В последните две години Google прави опити да промени как разширенията работят, тъй като настоящия интерфейс позволява злоупотреби. Компанията реши да наложи технически ограничения на платформата, вместо да анализира кода на разширенията, за да предотврати нередности. В момента се разработва нова версия на стандарта им, но в отдела за Chrome Web Store не работят достатъчно хора.

Изследователите са открили няколко разширения, които предлагат реклама като услуга – MapsTrek Promotions, FreeWeatherApp Promos и CouponRockstar Offers

Откриват, че са част от мрежа с разширения, която споделя подобен код. Посредством CRXcavator са идентифицирани 70 свързани разширения, за които е докладвано на Google. Те са свалени в последствие. Идентифицирана е следа в кода, която води до свалянето на над 500 лоши разширения, които са инсталирани от 1.7 млн. потребители.

Не е известно доколко потребителите са пострадали по някакъв начин.

Изглежда, че разширенията са направени да работят дискретно, за да печелят от реклами. Потребителите са пренасочвани към редица сайтове с реклами, някои легитимни, други не.

Измамата е, че се показват големи количества реклами, множество от които потребителите въобще не асимилира. Така създателите на приложенията са прибирали пари за реклама, от която няма никакъв ефект. Трети лица са използвали платформата, за да пренасочват потребителите и към фишинг сайтове и страници с малуер.

От Google казват, че са отворени към сътрудничество с изследователите и използват тяхната информация, за да свалят проблемните разширения, но и да тренират ръчните и автоматични механизми за анализ.

От Duo Security става ясно, че отнема два месеца на Google да свали докладваните приложения.
По отношение на това кой стои зад измамата, не се казва много

Човекът или групата работи от поне януари, 2019-та година. Някои от използваните домейни са регистрирани през 2017-та, а някои следи в кода водят назад към 2010-та година.

Среща се името на човек, но екипът зад проучването не се ангажира с това да определи дали това е истински човек и дали е свързан с престъплението.

Интересно е, че защитните механизми на Google най-вероятно се заобикалят чрез просто сменяне на името на JavaScript функциите, но не и на кода им.

4
ДОБАВИ КОМЕНТАР

avatar
3 Коментари
1 Отговори на коментарите
0 Последователи
 
Коментарът с най-много реакции
Най-горещият коментар
  Абонирай се  
нови стари оценка
Извести ме за
още по тежки и пълни с глупости ги наравете
още по тежки и пълни с глупости ги наравете

Няма по добро от забравеното истинско старо. За това през последната година започвам все по често да се връщам и да използвам добрия стар w3m браузър. Няма реклами, няма мигане, няма светкане и безсмислени картинки. Само текст на черен фон. Класика. Да ти е кеф да прочетеш нещо без да те разсейват хиляди други дразнещи неща.

коко
коко

А как гледаш порно, приятелю?

TNT
TNT

полезна статия, благодаря.

Gero
Gero

Не разбирам какво е полезното. Каквото и да тествам с даденият скенер .. всичко е КРИТИЧНО опасно. Дори Google Translate. Няма нещо да е с риск под 400+