Awake turvafirma tuvastamise kohta Google Chrome'i, saates konfidentsiaalseid kasutajaandmeid välistele serveritele. Lisandmoodulitel oli juurdepääs ka ekraanipiltide tegemiseks, lõikepuhvri sisu lugemiseks, küpsistes juurdepääsulubade olemasolu analüüsimiseks ja veebivormide sisendi pealtkuulamiseks. Kokku laaditi tuvastatud pahatahtlikke lisandmooduleid Chrome'i veebipoes alla 32.9 miljonil korral ning kõige populaarsemat (Search Manager) laaditi alla 10 miljonit korda ja see sisaldab 22 tuhat arvustust.
Eeldatakse, et kõik kaalutud täiendused valmistas ette üks ründajate meeskond, kuna kokkuvõttes tüüpiline skeem konfidentsiaalsete andmete levitamiseks ja kogumise korraldamiseks, samuti levinud kujunduselemendid ja korduv kood. pahatahtliku koodiga lisati Chrome Store'i kataloogi ja kustutati juba pärast pahatahtliku tegevuse kohta teatise saatmist. Paljud pahatahtlikud lisandmoodulid kopeerisid erinevate populaarsete lisandmoodulite funktsioone, sealhulgas neid, mille eesmärk oli pakkuda brauseri täiendavat turvalisust, suurendada otsingu privaatsust, PDF-i teisendamist ja vormingu teisendamist.
Pistikprogrammide arendajad postitasid esmalt Chrome'i poodi puhta versiooni ilma pahatahtliku koodita, läbisid eksperthinnangu ja lisasid seejärel muudatused ühes värskenduses, mis laadis pärast installimist pahatahtliku koodi. Pahatahtliku tegevuse jälgede peitmiseks kasutati ka selektiivset reageerimistehnikat – esimene päring tagastas pahatahtliku allalaadimise ja järgnevad päringud tagastasid kahtlased andmed.
Peamised viisid, kuidas pahatahtlikud lisandmoodulid levivad, on professionaalse välimusega saitide reklaamimine (nagu alloleval pildil) ja Chrome'i veebipoodi paigutamine, vältides kinnitusmehhanisme, mille abil saab hiljem välistelt saitidelt alla laadida koodi. Ainult Chrome'i veebipoest lisandmoodulite installimise piirangutest möödahiilimiseks levitasid ründajad eraldi Chromiumi komplekte koos eelinstallitud lisandmoodulitega ning installisid need ka süsteemis juba olemasolevate reklaamirakenduste (Adware) kaudu. Teadlased analüüsisid 100 finants-, meedia-, meditsiini-, farmaatsia-, nafta- ja gaasi- ning kaubandusettevõtete võrgustikku, samuti haridus- ja valitsusasutusi ning leidsid peaaegu kõigis neist jälgi pahatahtlike lisandmoodulite olemasolust.
Pahatahtlike lisandmoodulite levitamise kampaania käigus tehti rohkem kui , mis ristuvad populaarsete saitidega (nt gmaille.com, youtubeunblocked.net jne) või registreeritakse pärast varem olemasolevate domeenide uuendamisperioodi lõppu. Neid domeene kasutati ka pahatahtliku tegevuse halduse infrastruktuuris ja pahatahtlike JavaScripti lisade allalaadimiseks, mis käivitati kasutaja avatud lehtede kontekstis.
Teadlased kahtlustasid vandenõu Galcommi domeeniregistripidajaga, milles registreeriti 15 tuhat pahatahtliku tegevuse domeeni (60% kõigist selle registripidaja väljastatud domeenidest), kuid Galcommi esindajad Need eeldused näitasid, et 25% loetletud domeenidest on juba kustutatud või Galcommi poolt välja andmata ning ülejäänud, peaaegu kõik, on passiivsed pargitud domeenid. Galcommi esindajad teatasid ka, et keegi ei võtnud nendega ühendust enne raporti avalikustamist ning nad said kolmandalt osapoolelt nimekirja pahatahtlikel eesmärkidel kasutatud domeenidest ning tegelevad nüüd nende analüüsiga.
Probleemi tuvastanud teadlased võrdlevad pahatahtlikke lisandmooduleid uue juurkomplektiga – paljude kasutajate põhitegevus käib läbi brauseri, mille kaudu pääseb ligi ühiskasutatavale dokumendihoidlale, ettevõtte infosüsteemidele ja finantsteenustele. Sellistes tingimustes pole ründajatel mõtet otsida võimalusi operatsioonisüsteemi täielikuks kompromiteerimiseks, et installida täieõiguslik juurkomplekt – pahatahtliku brauseri lisandmooduli installimine ja konfidentsiaalsete andmete voogu juhtimine on palju lihtsam. seda. Lisaks ühistranspordiandmete jälgimisele saab lisandmoodul taotleda luba juurdepääsuks kohalikele andmetele, veebikaamerale või asukohale. Nagu praktika näitab, ei pööra enamik kasutajaid taotletud õigustele tähelepanu ja 80% 1000 populaarsest lisandmoodulist taotleb juurdepääsu kõigi töödeldud lehtede andmetele.
Allikas: opennet.ru