Половин милион потребители изтеглили зловредна добавка за Google Chrome

Доклад на компания за информационна сигурност предава за инцидент, при който половин милион души са изтеглили проблематични приставки за Google Chrome. Според компанията направила разкритието, ICEBERG, зловредната функционалност на добавките е манипулация на резултатите от търсенията в основните уеб търсачки, кражба на кликове, но вероятно е да са използвани и за проникване в корпоративни мрежи и достъп до конфиденциална информация. Откритието било направено, след като ICEBERG регистрират необичайно високи по обем изходни заявки от системата на клиент на компанията към европейски VPS доставчик. Източникът на тези HTTP заявки бил към един определен сайт и специалистите успели да го свържат с конкретна добавка за Chrome, помещаваща се и в магазина на браузъра. Макар и разширението да не съдържало скрит зловреден код, изследователите открили два проблема, които може да доведат до инжектирането на случаен JavaScript код посредством добавката. От ICEBERG обясняват, че Google Chrome може да изпълнява JavaScript код в JSON, но поради опасения за сигурността, на разширенията им е забранено да извличат JSON от външни източници. Те могат да изискат подобно изпълнение само чрез Content Security Policy (CSP). Когато това условие е изпълнено, разширението може да извлече и изпълни JSON код от външно контролиран сървър, което позволява на приставката да инжектира случаен JavaScript код, когато ъпдейт сървъра получи заявка за това.

След инжектирането, JavaScript кодът създава WebSocket тунел с името на сайта и го използвва, за да пренасочи трафика през браузъра на жертвата. „По време на наблюдението ни, атакуващата страна използва тази възможност единствено за посещение на свързани с реклама домейни, което говори за провеждана кампания за кликане с цел облага. Кражбата на кликове помага на злонамерени лица да спечелят пари посредством системите на жертвите си като карат браузърите им да посещават рекламни сайтове, които плащат за кликове върху рекламни банери (pay-per-click, PPC). Атаката може и да се използва обаче за това да се видят вътрешните сайтове в мрежата на жертвата. Change HTTP Request Header обаче, открили ICEBERG, не е единственото разширение, показващо подобно поведение. Основните характеристики на това разширение се споделят и от три други популярни добавки за Chrome: Nyoogle – Custom Logo for Google, Lite Bookmarks и Stickies – Chrome’s Post-it Notes.

ICEBERG са уведомили Google, холандските и американски CERT екипи, както и потребители на въпросните разширения.