Під час новорічних свят стало відомо про серйозну проблему: щонайменше 33 розширення для браузера Chrome, які були доступні в офіційному Chrome Web Store, протягом декількох місяців збирали конфіденційні дані з приблизно 2,6 мільйона пристроїв.

Про це повіломляє Ars Technica.

Шкідливий код у популярному розширенні

Проблема виявилася після того, як компанія Cyberhaven, яка спеціалізується на захисті даних, помітила, що одне з її власних розширень, яким користуються 400 тисяч людей, було оновлено шкідливим кодом.

Ця компрометована версія 24.10.4 була доступна усього 31 годину — з 25 до ранку 26 грудня 2024 року. У цей час браузери, де було встановлено це розширення, автоматично завантажували та встановлювали оновлення зі шкідливим кодом. Компанія Cyberhaven швидко усунула загрозу, випустивши безпечні версії 24.10.5 і 24.10.6.

Як відбулася атака

Розширення, яке зазвичай забезпечує захист даних користувачів, було скомпрометоване через фішинговий лист. Зловмисники відправили розробникам повідомлення про нібито порушення правил Google. Один із членів команди, довірившись підробленому інтерфейсу авторизації Google OAuth, надав зловмисникам доступ до публікації нових версій розширення в Chrome Web Store.

Масштаби загрози

Розслідування показало, що подібним методом було зламано ще 19 інших розширень, які сумарно мали 1,46 мільйона завантажень. Серед них — популярні розширення VPNCity, Reader Mode, Wayin AI тощо.

Деякі з цих розширень збирали файли cookie та облікові дані з популярних сервісів, як-от Facebook чи ChatGPT. Інші використовували підроблені домени для розповсюдження шкідливого програмного забезпечення.

Список постраждалих розширень

До числа уражених розширень увійшли:

• VPNCity — 10 тисяч користувачів (постраждали у період із 12 до 31 грудня 2024 року);
• Reader Mode — 300 тисяч користувачів (18–19 грудня 2024 року);
• Wayin AI — 40 тисяч користувачів (19–31 грудня 2024 року);
• YesCaptcha Assistant — 200 тисяч користувачів (29–31 грудня 2024 року).

Повний список містив 33 розширення.

Додаткові загрози

Дослідники виявили, що Reader Mode було зламано ще у квітні 2023 року. У ньому використовували код для монетизації, який збирав дані про кожен вебсайт, відвіданий користувачами.

Загалом 13 розширень, включно з Reader Mode, застосовували цей код, що дозволило зібрати інформацію з 1,14 мільйона пристроїв.

Рекомендації для користувачів

Якщо ви використовували будь-яке з перелічених розширень, рекомендується:

• Змінити паролі до ваших облікових записів.
• Перевірити активність у своїх акаунтах на наявність підозрілих дій.
• У корпоративних мережах варто обмежити перелік дозволених розширень, чітко вказавши їх безпечні версії, аби уникнути подібних проблем у майбутньому.

Нагадаємо, Головні технологічні провали 2024 року

Юлія Педюк  - pravdatutnews.com