Браузер Google Chrome столкнулся с новой волной вредоносных расширений

Google Chrome — самый популярный браузер в мире, и его часто рекламируют (несколько ошибочно) как безопасный. Из-за своей популярности Google Chrome является главной мишенью для хакеров, которые хотят забросить широкую сеть в поисках потенциальных целей. В прошлом Google приходилось бороться с многочисленными атаками на браузер Chrome, особенно в виде вредоносных расширений браузера. Согласно новому исследованию, именно эта проблема снова всплыла на поверхность.

Рассматриваемые вредоносные расширения для браузера были обнаружены фирмой по сетевой безопасности ICEBRG Inc. Исследователи подробно описали четыре различных расширения в блоге, чтобы показать их функции и почему они так опасны.

Первоначально в сообщении объяснялась проблема с современными расширениями браузера в целом, что является ключевым моментом для понимания четырех текущих угроз. Объяснение дается следующее:

Веб-приложения могут улучшить общее впечатление пользователя, они также представляют угрозу безопасности рабочей станции из-за возможности внедрения и выполнения произвольного кода. Сочетание «простой установки» для пользователей в стиле рынка расширений, ограниченного понимания основных рисков и небольшого количества компенсирующих средств управления делает организации уязвимыми для серьезного и легко упускаемого из виду вектора атаки.

Вредоносные расширения были впервые обнаружены ICEBRG, когда был обнаружен тревожный всплеск исходящего сетевого трафика на «рабочей станции клиента европейскому поставщику VPS». Было обнаружено, что расширения следующие; Изменить заголовок HTTP-запроса, Nyoogle — собственный логотип для Google, Lite Bookmarks и Stickies — стикеры Chrome Post-it. После своего открытия исследователи ICEBRG в конечном итоге пришли к выводу, что расширения использовались для мошенничества с кликами и манипулирования поисковой оптимизацией.

Однако это только половина дела, поскольку в механизме JavaScript Chrome есть функция, которую можно использовать, что делает эти расширения серьезной угрозой. Сообщение ICEBRG описывает недостаток следующим образом:

Механизм JavaScript Chrome оценивает (выполняет) код JavaScript, содержащийся в JSON. Из соображений безопасности Chrome запрещает получение JSON из внешнего источника с помощью расширений, которые должны явно запрашивать его использование через политику безопасности контента (CSP). Когда расширение включает разрешение «unsafe-eval» для выполнения таких действий, оно может получать и обрабатывать JSON с сервера, контролируемого извне. Это создает сценарий, в котором автор расширения может внедрять и выполнять произвольный код JavaScript в любое время, когда сервер обновлений получает запрос.

Внедрение кода, которое стало возможным благодаря механизму JavaScript Chrome, означает, что возможен ряд атак, и, как следствие, хакер может получить доступ к конфиденциальным данным с помощью нескольких хорошо продуманных атак с внедрением кода. Хотя Google удалил оскорбительные расширения из центра загрузки, факт остается фактом: многие не обращающие внимания пользователи, вероятно, все еще установили эти расширения в своем браузере Chrome (таким образом подвергая риску все окружающие сети).

Threatpost «Лаборатории Касперского» отмечает в своем отчете о вредоносных расширениях, что браузер Google Chrome занимает примерно 60% рынка браузеров. Последствия этого вызывают тревогу, если эти расширения для браузера продолжат проникать в официальное пространство загрузки Google, и, нравится вам это или нет, компания проверяет расширения как «безопасные» для загрузки. В то время как компания работает с ИТ-специалистами, чтобы дать им больше контроля над блокировкой загрузки расширений пользователями в их сети; многое еще предстоит сделать для защиты потребителей.