Η Google έχει αφαίρεσε 34 κακόβουλες επεκτάσεις προγράμματος από το Chrome Web Store που είχαν συλλογικά α πλήθος λήψεων 87 εκατομμύρια. Αν και αυτές οι επεκτάσεις διέθεταν νόμιμη λειτουργικότητα, μπορούσαν να τροποποιήσουν τα αποτελέσματα αναζήτησης και να προωθήσουν ανεπιθύμητες ή ανεπιθύμητες διαφημίσεις.
Τον περασμένο μήνα, ένας ανεξάρτητος ερευνητής κυβερνοασφάλειας Wladimir Palant ανακάλυψε μια επέκταση προγράμματος περιήγησης που ονομάζεται “PDF Toolbox” (2 εκατομμύρια λήψεις) για το Google Chrome που είχε έναν έξυπνα συγκαλυμμένο συγκαλυμμένο κώδικα για να μην γνωρίζουν οι χρήστες τους πιθανούς κινδύνους τους.
Πώς να κερδίσετε χρήματα από το OnlyFans: Ένας ολοκληρωμένος οδηγός
Το Chrome Web Store καταργεί 34 κακόβουλες επεκτάσεις με 87 εκατομμύρια λήψεις
Ο ερευνητής ανέλυσε την επέκταση PDF Toolbox και δημοσίευσε αναλυτική έκθεση στις 16 Μαΐου. Εξήγησε ότι ο κώδικας φτιάχτηκε για να μοιάζει με α νόμιμο περιτύλιγμα API επέκτασης. Αλλά, δυστυχώς, αυτός ο κώδικας επέτρεψε το «serasearchtop[.]com» για την εισαγωγή αυθαίρετου κώδικα JavaScript σε κάθε ιστοσελίδα που βλέπει ένας χρήστης.
Σύμφωνα με την έκθεση, η πιθανές καταχρήσεις περιλαμβάνω κλοπή αποτελεσμάτων αναζήτησης για να εμφανίσετε συνδέσμους χορηγίας και αποτελέσματα επί πληρωμή, προσφέροντας ακόμη και κακόβουλους συνδέσμους κατά καιρούς, και κλοπή ευαίσθητων πληροφοριών. Ωστόσο, ο σκοπός του κώδικα παρέμεινε άγνωστος, καθώς ο Palant δεν εντόπισε καμία κακόβουλη δραστηριότητα.
Ο ερευνητής διαπίστωσε επίσης ότι ο κώδικας είχε ρυθμιστεί να ενεργοποιείται 24 ώρες μετά την εγκατάσταση της επέκτασης, κάτι που δείχνει κακόβουλες προθέσεις, αναφέρεται στην έκθεση.
Σε ένα επόμενο άρθρο που δημοσιεύτηκε στις 31 Μαΐου 2023ο Palant έγραψε ότι είχε βρει το τον ίδιο κακόβουλο κώδικα σε άλλες 18 επεκτάσεις Chrome με συνολικό αριθμό λήψεων 55 εκατ στο Chrome Web Store.
Συνεχίζοντας την έρευνά του, ο Palant βρήκε δύο παραλλαγές του κώδικα που ήταν πολύ παρόμοια αλλά με μικρές διαφορές:
- Η πρώτη παραλλαγή μεταμφιέζεται ως πρόγραμμα περιήγησης WebExtension της Mozilla API Polyfill. Η διεύθυνση λήψης “config” είναι https://serasearchtop.com/cfg//polyfill.json και η λανθασμένη χρονική σήμανση που εμποδίζει τις λήψεις εντός των πρώτων 24 ωρών είναι localStorage.polyfill.
- Η δεύτερη παραλλαγή μεταμφιέζεται ως Βιβλιοθήκη Day.js. Πραγματοποιεί λήψη δεδομένων από τη διεύθυνση https://serasearchtop.com/cfg//locale.json και αποθηκεύει τη λανθασμένη χρονική σήμανση στο localStorage.locale.
Ωστόσο, και οι δύο παραλλαγές διατηρούν τον ακριβή μηχανισμό έγχυσης κώδικα JS που περιλαμβάνει το serasearchtop[.]com.
Ενώ ο ερευνητής δεν παρατήρησε τον κακόβουλο κώδικα σε δράσησημείωσε αρκετές αναφορές χρηστών και κριτικές στο Web Store που δείχνουν ότι το οι επεκτάσεις παραβίαζαν τα αποτελέσματα αναζήτησης και τα ανακατευθύνουν τυχαία αλλού.
Αν και ο Palant ανέφερε τα ευρήματά του στην Google, οι επεκτάσεις παρέμειναν διαθέσιμες στο Chrome Web Store. Μόνο αφού η εταιρεία κυβερνοασφάλειας Avast επιβεβαίωσε την κακόβουλη φύση των επεκτάσεων του Chrome, τέθηκαν εκτός σύνδεσης από τον γίγαντα αναζήτησης.
Palant είχε παρατίθενται 34 κακόβουλες επεκτάσεις στον ιστότοπό του, με συνολικό αριθμό λήψεων 87 εκατομμύρια. Από την ημερομηνία, Όλες αυτές οι κακόβουλες επεκτάσεις έχουν αφαιρεθεί από την Google από το Chrome Web Store. Ωστόσο, αυτό δεν τους απενεργοποιεί ή απεγκαθιστά αυτόματα από τα προγράμματα περιήγησης ιστού τους. Ως εκ τούτου, συνιστάται στους χρήστες να τα απεγκαταστήσουν από τις συσκευές τους με μη αυτόματο τρόπο.
Πώς να ακούσετε Apple Music στη Samsung Smart TV(Ανοίγει σε νέα καρτέλα)
Πώς να παρακολουθήσετε IPTV στο PS5(Ανοίγει σε νέα καρτέλα)
Πώς να προσθέσετε επεκτάσεις στο πρόγραμμα περιήγησης Chrome(Ανοίγει σε νέα καρτέλα)
