Расширение для Chrome, призванное защищать пользователей, ворует информацию из L

[alexsf]

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Расширение для Chrome, призванное защищать пользователей, ворует информацию из LinkedIn и Facebook

Известный ИБ-специалист и основатель ресурса Bleeping Computer Лоренс Абрамс You are not allowed to view links. Register or Login в Chrome Web Store подозрительное расширение Browse-Secure, которое рекламируется как инструмент, гарантирующий своим пользователям безопасный, зашифрованный и по-настоящему анонимный поиск. К сожалению, на самом деле расширение похищает данные из аккаунтов LinkedIn и Facebook и передает их на удаленный сервер.

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Хотя страница расширения в Chrome Web Store не вызывает особенных подозрений (настораживает разве что дата добавления в каталог и отсутствие иллюстраций), Абрам пишет, что Browse-Secure рекламируется на сторонних сайтах по стандартной мошеннической схеме: пользователю показывают фальшивое сообщение о проблемах с безопасностью и рекомендуют срочно загрузить расширение, которое все исправит. Пример такой рекламы можно увидеть ниже.

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

После установки Browse-Secure связывается со своим бэкэндом по адресу You are not allowed to view links. Register or Login, и пользователю присваивается UID, который затем применяется для идентификации этого конкретного браузера и установки.

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Затем расширение обращается к файлу crawl.json, входящему в его состав. Файл содержит ряд правил и URL, к которым Browse-Secure обращается, чтобы извлечь данные. Список адресов и содержимое файла crawl.json:

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

URL                                                                                     Извлекаемые данные

You are not allowed to view links. Register or Login                                      ФИО, дата рождения
You are not allowed to view links. Register or Login     Пол, адрес
You are not allowed to view links. Register or Login                                      Email
You are not allowed to view links. Register or Login                    Номер мобильного телефона
You are not allowed to view links. Register or Login                               Email
You are not allowed to view links. Register or Login                     ФИО

Как только сбор информации завершается, расширение вновь связывается с бэкэндом и загружает все собранные данные на удаленный сервер.
Абрамс пишет, что пока неизвестно, с какой целью разработчикам Browse-Secure нужна личная информация пользователей. Полученные данные могут использоваться как для проведения направленных фишинговых атак, так и для реализации более примитивных мошеннических схем, к примеру, для доставки спама (в том числе и настоящего, бумажного).

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Что касается заявленной в описании расширения функции безопасного, зашифрованного и анонимного поиска, исследователь не уверен, насколько эти заявления соответствуют действительности. Так, после установки Browse-Secure в поисковой строке действительно появляется иконка, изображающая замок (см. ниже), а запросы к поисковикам Google, MyWebSearch, Bing, MSN, Ask, WoW, MyWay, AOL и SearchLock проходят переадресацию, в итоге формируя ссылку вида You are not allowed to view links. Register or Login. После этого пользователя переадресует обратно в Google или другую поисковую систему. То есть разработчики Browse-Secure отслеживают еще и IP-адреса своих жертв, а также «видят» все их поисковые запросы.

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

В завершении статьи Абрамс напоминает, что не стоит доверять нарочито агрессивной и пугающей рекламе, которая предлагает что-либо установить. Также специалист рекомендует загружать только проверенные расширения для браузера, предварительно внимательно ознакомившись с отзывами на странице Chrome Web Store. Ведь в наши дни расширения нередко используются злоумышленниками для отслеживания поисковых запросов пользователей, внедрения рекламных объявлений в код веб-страниц, или ради переадресации жертв на партнерские сайты, каждый переход на которые приносит деньги разработчикам такой адвари.

Фото: Bleeping Computer

You are not allowed to view links. Register or Login