Сэрүүн хамгаалалтын компани тодорхойлох тухай Google Chrome руу хэрэглэгчийн нууц мэдээллийг гадаад сервер рүү илгээдэг. Нэмэлтүүд нь дэлгэцийн агшинг авах, санах ойн агуулгыг унших, күүки дэх хандалтын токен байгаа эсэхийг шинжлэх, вэб маягт дахь оролтыг таслан зогсоох боломжтой байсан. Нийтдээ илэрсэн хортой нэмэлтүүд нь Chrome вэб дэлгүүрт 32.9 сая удаа татагдсан бөгөөд хамгийн алдартай (Хайлтын менежер) нь 10 сая удаа татагдсан бөгөөд 22 мянган шүүмжийг багтаасан байна.
Бүх авч үзсэн нэмэлтүүдийг довтлогчдын нэг баг бэлтгэсэн гэж үздэг нууц мэдээллийг түгээх, хураах ажлыг зохион байгуулах ердийн схем, түүнчлэн дизайны нийтлэг элементүүд ба давтагдсан код. хорлонтой кодыг Chrome Store каталогт байршуулсан бөгөөд хортой үйлдлийн талаар мэдэгдэл илгээсний дараа аль хэдийн устгасан. Олон хортой нэмэлтүүд нь хөтчийн нэмэлт аюулгүй байдлыг хангах, хайлтын нууцлалыг нэмэгдүүлэх, PDF хөрвүүлэх, формат хөрвүүлэх зэрэг олон алдартай нэмэлтүүдийн функцийг хуулсан.
Нэмэлт хөгжүүлэгчид эхлээд Chrome Store-д хортой кодгүй цэвэр хувилбарыг нийтэлж, үе тэнгийнхний хяналтад орсон бөгөөд суулгасны дараа хортой кодыг ачаалсан шинэчлэлтүүдийн аль нэгэнд нь өөрчлөлт оруулсан. Хортой үйл ажиллагааны ул мөрийг нуухын тулд сонгомол хариу аргачлалыг ашигласан - эхний хүсэлт нь хортой татан авалтыг буцааж өгсөн бөгөөд дараагийн хүсэлтүүд нь сэжиггүй өгөгдлийг буцааж өгсөн.
Хортой нэмэлтүүд тархах гол арга замууд нь мэргэжлийн харагдах сайтуудыг сурталчлах (доорх зурган дээрх шиг) болон Chrome вэб дэлгүүрт байршуулах, дараа нь гадны сайтаас код татаж авах баталгаажуулах механизмыг алгасах явдал юм. Зөвхөн Chrome вэб дэлгүүрээс нэмэлтүүдийг суулгах хязгаарлалтыг даван туулахын тулд халдагчид урьдчилан суулгасан нэмэлтүүдээр Chromium-ийн тусдаа угсралтуудыг тарааж, мөн системд аль хэдийн байгаа зар сурталчилгааны програмуудаар дамжуулан суулгасан байна. Судлаачид санхүү, хэвлэл мэдээлэл, анагаах ухаан, эм зүй, газрын тос, байгалийн хийн болон худалдааны компаниуд, боловсролын болон төрийн байгууллагуудын 100 сүлжээнд дүн шинжилгээ хийж, бараг бүгдэд нь хортой нэмэлтүүд байгаа эсэхийг илрүүлжээ.
Хортой нэмэлтүүдийг тараах кампанит ажлын үеэр, илүү , алдартай сайтуудтай огтлолцдог (жишээ нь, gmaille.com, youtubeunblocked.net гэх мэт) эсвэл өмнө нь байсан домэйнуудын сунгах хугацаа дууссаны дараа бүртгүүлсэн. Эдгээр домэйнууд нь мөн хортой үйл ажиллагааны удирдлагын дэд бүтцэд ашиглагдаж, хэрэглэгчийн нээсэн хуудасны контекст дээр хийгдсэн хортой JavaScript оруулгыг татаж авахад ашиглагдаж байсан.
Судлаачид Galcomm домэйн бүртгэгчтэй хуйвалдаан хийсэн гэж сэжиглэж байсан бөгөөд үүнд 15 мянган хортой үйл ажиллагаа бүртгэгдсэн домэйн (энэ бүртгэгчээс гаргасан бүх домэйны 60%), харин Galcomm-ын төлөөлөгчид Эдгээр таамаглалууд нь жагсаасан домэйнуудын 25% нь аль хэдийн устгагдсан эсвэл Galcomm-аас гаргаагүй, үлдсэн хэсэг нь бараг бүгд идэвхгүй зогсоолтой домэйнууд болохыг харуулж байна. Galcomm-ийн төлөөлөгчид мөн тайланг олон нийтэд дэлгэхээс өмнө тэдэнтэй хэн ч холбоо бариагүй бөгөөд гуравдагч этгээдээс хорлонтой зорилгоор ашигласан домэйнуудын жагсаалтыг хүлээн авсан бөгөөд одоо тэдгээрт дүн шинжилгээ хийж байна.
Асуудлыг тодорхойлсон судлаачид хортой нэмэлтүүдийг шинэ rootkit-тэй харьцуулж үздэг - олон хэрэглэгчдийн үндсэн үйл ажиллагаа нь хөтчөөр дамждаг бөгөөд үүгээрээ дамжуулан хуваалцсан баримт бичгийн хадгалалт, корпорацийн мэдээллийн систем, санхүүгийн үйлчилгээнд нэвтэрдэг. Ийм нөхцөлд халдагчид бүрэн хэмжээний rootkit суулгахын тулд үйлдлийн системийг бүрэн эвдэх арга замыг хайх нь утгагүй юм - хортой хөтөчийн нэмэлтийг суулгаж, нууц мэдээллийн урсгалыг хянах нь илүү хялбар байдаг. тэр. Нэмэлт нь дамжин өнгөрөх өгөгдлийг хянахаас гадна дотоод өгөгдөл, вэб камер эсвэл байршилд хандах зөвшөөрөл хүсэх боломжтой. Практикаас харахад ихэнх хэрэглэгчид хүссэн зөвшөөрлийг анхаарч үздэггүй бөгөөд 80 алдартай нэмэлтүүдийн 1000% нь бүх боловсруулсан хуудасны өгөгдөлд хандахыг хүсдэг.
Эх сурвалж: opennet.ru