Google ze svého Internetového obchodu Chrome odstranil 34 škodlivých rozšíření prohlížeče, která měla dohromady 87 milionů stažení. Ačkoli tato rozšíření obsahovala legitimní funkce, mohla upravovat výsledky vyhledávání a šířit spam nebo nežádoucí reklamy.
Minulý měsíc objevil nezávislý výzkumník v oblasti kybernetické bezpečnosti Wladimir Palant rozšíření prohlížeče s názvem „PDF Toolbox“ (2 miliony stažení) pro Google Chrome, které mělo důmyslně zamaskovaný kód, aby si uživatelé nebyli vědomi jejich potenciálních rizik.
Internetový obchod Chrome odstraňuje 34 škodlivých rozšíření s 87 miliony stažení
Výzkumník analyzoval rozšíření PDF Toolbox a zveřejnil podrobnou zprávu 16. května. Vysvětlil, že kód byl vytvořen tak, aby vypadal jako legitimní obal pro rozšíření API. Ale bohužel tento kód umožnil „serasearchtop[.]com“ pro vložení libovolného kódu JavaScript do každé webové stránky, kterou si uživatel prohlížel.
Podle zprávy mezi potenciální zneužití patří únos výsledků vyhledávání za účelem zobrazení sponzorovaných odkazů a placených výsledků, občas dokonce nabízení škodlivých odkazů a krádež citlivých informací. Účel kódu však zůstal neznámý, protože Palant nezjistil žádnou škodlivou aktivitu.
Výzkumník také zjistil, že kód byl nastaven tak, aby se aktivoval 24 hodin po instalaci rozšíření, což ukazuje na nekalé úmysly, uvádí zpráva.
V navazující článek zveřejněný 31. května 2023Palant napsal, že stejný škodlivý kód našel v dalších 18 rozšířeních Chrome s celkovým počtem stažení 55 milionů v Internetovém obchodě Chrome.
Palant pokračoval ve svém vyšetřování a našel dvě varianty kódu, které byly velmi podobné, ale s malými rozdíly:
- První varianta se maskuje jako rozhraní API prohlížeče Mozilla WebExtension Polyfill. Adresa pro stahování „config“ je https://serasearchtop.com/cfg/
/polyfill.json a poškozené časové razítko bránící stahování během prvních 24 hodin je localStorage.polyfill. - Druhá varianta se maskuje jako knihovna Day.js. Stahuje data z https://serasearchtop.com/cfg/
/locale.json a ukládá poškozené časové razítko do localStorage.locale.
Obě varianty však zachovávají přesný libovolný mechanismus vkládání kódu JS zahrnující serasearchtop[.]com.
I když výzkumník nepozoroval škodlivý kód v akci, zaznamenal několik uživatelských hlášení a recenzí v internetovém obchodě, které naznačovaly, že rozšíření unášela výsledky vyhledávání a náhodně je přesměrovávala jinam.
Přestože Palant oznámil svá zjištění Googlu, rozšíření zůstala dostupná v Internetovém obchodě Chrome. Teprve poté, co společnost Avast zabývající se kybernetickou bezpečností potvrdila škodlivou povahu rozšíření Chrome, byla vyhledávacím gigantem odebrána offline.
Palant měl uvedeny 34 škodlivých rozšíření na jeho webu s celkovým počtem stažení 87 milionů. K dnešnímu dni byla všechna tato škodlivá rozšíření odstraněna společností Google z Internetového obchodu Chrome. Tím je však automaticky nedeaktivujete ani neodinstalujete z jejich webových prohlížečů. Uživatelům se proto doporučuje odinstalovat je ze svých zařízení ručně.