23/01/25
Несмотря на введение технических ограничений в рамках перехода на Manifest V3, Google до сих пор не принял чётких политик, запрещающих исполнение удалённого кода, что позволяет злоумышленникам находить лазейки, пишет Securitylab.
Расследование выявило несколько групп расширений, активно использующих такие уязвимости. Одной из них является Phoenix Invicta Inc. Некоторые расширения данной группы запрашивают полный доступ к сайтам и регулярно скачивают конфигурации с удалённых серверов, что позволяет внедрять HTML-код, отключать механизмы безопасности, такие как Content Security Policy, и открывать новые вкладки для рекламы. Хотя внешне такие расширения могут казаться безопасными, их архитектура явно рассчитана на скрытые вредоносные действия.
Другая группа, связанная с Technosense Media Pvt. Ltd., продолжает работать, несмотря на многочисленные обвинения в шпионаже и мошенничестве. Например, расширение-блокировщик рекламы отправляет данные о посещённых сайтах на свои серверы, якобы для загрузки правил блокировки рекламы. Однако исследование показало, что данные используются для слежки за пользователями, подмены куки или внедрения скрытых рекламных фреймов.
Особое внимание привлекли расширения из группы Sweet VPN, которые применяют сложные методы обфускации и защиты от отладки. Плагины загружают инструкции с серверов и используют их для мониторинга действий пользователей, перенаправления поисковых запросов и демонстрации рекламы. Несмотря на ограниченные разрешения, такие как доступ к прокси и вкладкам, скрытый функционал расширений явно указывает на вредоносные намерения.
Обнаруженные расширения продолжают находиться в Chrome Web Store, что поднимает вопросы о недостаточной проверке и слабом контроле со стороны Google. Стоит рассмотреть переход от технических ограничений к разработке строгих политик, запрещающих удалённое исполнение кода, и другие потенциально опасные механизмы.
Пользователям рекомендуется проявлять повышенную осторожность при установке браузерных расширений, обращая внимание на запрашиваемые разрешения, отзывы и наличие открытых исходных кодов. В противном случае риск стать жертвой шпионажа или мошенничества остаётся крайне высоким.
