Awake Security Company identifikatzeari buruz Google Chrome-ra, erabiltzailearen datu konfidentzialak kanpoko zerbitzarietara bidaliz. Gehigarriek pantaila-argazkiak hartzeko, arbeleko edukia irakurtzeko, sarbide-token presentzia Cookieetan aztertzeko eta web inprimakietako sarrerak atzemateko aukera ere izan zuten. Guztira, identifikatutako gehigarri gaiztoek 32.9 milioi deskarga izan dituzte Chrome Web Store-n, eta ezagunena (Search Manager) 10 milioi aldiz deskargatu da eta 22 mila berrikuspen ditu.
Suposatzen da kontuan hartutako gehiketa guztiak erasotzaile talde batek prestatu zituela, guztira isilpeko datuen harrapaketa banatzeko eta antolatzeko eskema tipikoa, baita diseinu-elementu komunak eta errepikatutako kodea ere. kode maltzur batekin Chrome Store katalogoan jarri ziren eta jarduera asmo txarreko jakinarazpena bidali ondoren ezabatu ziren dagoeneko. Gehigarri gaizto askok hainbat gehigarri ezagunen funtzionalitateak kopiatu zituzten, arakatzailearen segurtasun gehigarria eskaintzera, bilaketa-pribatutasuna areagotzea, PDF bihurtzea eta formatua bihurtzea helburu dutenak barne.
Gehigarrien garatzaileek kode gaiztorik gabeko bertsio garbia argitaratu zuten lehenik Chrome dendan, parekideen berrikuspena egin zuten eta, ondoren, instalazioaren ondoren kode gaiztoa kargatzen zuten eguneratzeetako batean aldaketak gehitu zituzten. Jarduera gaiztoen aztarnak ezkutatzeko, erantzun selektiboaren teknika ere erabili zen: lehen eskaerak deskarga maltzur bat itzultzen zuen, eta ondorengo eskaerek susmagarriak ez ziren datuak.
Gehigarri gaiztoak zabaltzeko modu nagusiak itxura profesionaleko guneen sustapena (beheko irudian bezala) eta Chrome Web Storen kokatzea dira, kanpoko guneetatik gero kodea deskargatzeko egiaztapen-mekanismoak alde batera utzita. Chrome Web Storetik soilik gehigarriak instalatzeko murrizketak saihesteko, erasotzaileek Chromium-en muntaketa bereiziak banatu zituzten aurrez instalatutako gehigarriekin, eta sisteman jadanik dauden publizitate-aplikazioen bidez (Adware) ere instalatu zituzten. Ikertzaileek finantza, komunikabide, medikuntza, farmazia, petrolio eta gas eta merkataritza enpresen 100 sare aztertu dituzte, baita hezkuntza eta gobernu erakundeak ere, eta gehigarri gaiztoen presentziaren arrastoak aurkitu dituzte ia guztietan.
Gehigarri gaiztoak banatzeko kanpainan, baino gehiago , gune ezagunekin gurutzatuz (adibidez, gmaille.com, youtubeunblocked.net, etab.) edo lehendik zeuden domeinuen berritze-epea amaitu ondoren erregistratuta. Domeinu hauek jarduera gaiztoen kudeaketarako azpiegituran eta erabiltzaileak irekitako orrien testuinguruan exekutatzen ziren JavaScript txertaketa gaiztoak deskargatzeko ere erabili ziren.
Ikertzaileek Galcomm domeinu-erregistratzailearekin konspirazio bat susmatu zuten, non jarduera asmo txarreko 15 mila domeinu erregistratu baitziren (erregistratzaile honek emandako domeinu guztien % 60), baina Galcommeko ordezkariek Suposizio horiek adierazi zuten zerrendatutako domeinuen % 25 dagoeneko ezabatu egin dela edo ez zuela Galcomm-ek igorri, eta gainerakoak, ia guztiak inaktibo aparkatuta dauden domeinuak dira. Galcommeko ordezkariek ere jakinarazi zutenez, inor ez zen haiekin harremanetan jarri txostena publikoki zabaldu baino lehen, eta helburu maltzurrekin erabilitako domeinuen zerrenda jaso zuten hirugarren batengandik, eta orain haien azterketa egiten ari dira.
Arazoa identifikatu duten ikertzaileek gehigarri gaiztoak rootkit berri batekin konparatzen dituzte - erabiltzaile askoren jarduera nagusia arakatzaile baten bidez egiten da, zeinaren bidez partekatutako dokumentuen biltegiratze, informazio-sistema korporatibo eta finantza-zerbitzuetara sartzeko. Baldintza horietan, ez du zentzurik erasotzaileek sistema eragilea guztiz arriskuan jartzeko moduak bilatzea erabateko rootkit bat instalatzeko; askoz errazagoa da arakatzaile gaiztoko gehigarri bat instalatzea eta isilpeko datuen fluxua kontrolatzea. hura. Garraio-datuak monitorizatzeaz gain, gehigarriak tokiko datuetara, web-kamerara edo kokapena atzitzeko baimenak eska ditzake. Praktikak erakusten duenez, erabiltzaile gehienek ez diete erreparatzen eskatutako baimenei, eta 80 gehigarri ezagunen % 1000k prozesatutako orrialde guztietako datuetarako sarbidea eskatzen du.
Iturria: opennet.ru