Kokius duomenis rinko pažeisti naršyklės plėtiniai?

Tyrėjai nustatė, kad plėtiniai rinko lankytų adresų (URL) istoriją, paieškos užklausas, smulkų sąveikos su puslapiais sekimą (pvz., pelės paspaudimus, navigaciją), HTTP referrer informaciją ir kai kuriais atvejais techninius parametrus kaip naršyklės versija ar įdiegtų plėtinių identifikatoriai. Šie duomenys buvo periodiškai siunčiami į nežinomus nuotolinius serverius.

Ar pašalinus plėtinį duomenų nutekėjimas sustoja automatiškai?

Ne visada. Pašalinimas iš internetinės parduotuvės blokuoja naujus įsidiegimus ir parduotuvės atnaujinimus, bet jei plėtinys jau įdiegtas, jis išlieka vartotojo įrenginyje tol, kol vartotojas jo nepašalina. Be to, anksčiau sinchronizuota istorija ar nustatymai gali likti sinchronizuotuose duomenyse, todėl rekomenduojama išvalyti sinchronizuotus duomenis ir persijungti iš savo paskyros.

Kaip saugiai patikrinti ir pašalinti įtartinus plėtinius?

Atidarykite naršyklės plėtinių valdymo skyrių ir peržiūrėkite visus įdiegtus priedus: išjunkite arba pašalinkite nepažįstamus, nebereikalingus ar įtartinus plėtinius. Atnaujinkite naršyklę, išvalykite sinchronizuotus duomenis, atsijunkite ir prisijunkite iš naujo prie paskyros. Taip pat atlikite pilną sistemos nuskaitymą patikima antivirusine programa ir pakeiskite svarbių paskyrų slaptažodžius.

Ką organizacijos turėtų daryti, kad sumažintų riziką?

Įmonės turi centralizuotai valdyti plėtinių diegimą, blokuoti nepatikimus plėtinius politikos taisyklėse, stebėti tinklo srautus dėl užklausų į nežinomus domenus, taikyti programinės įrangos tiekimo grandinės peržiūras ir rengti darbuotojų mokymus apie saugios praktikos taisykles.

Kaip naršyklės plėtiniai šnipinėjo milijonus vartotojų

7 Minutės

Septynis metus atrodžiusios naudingos naršyklės priedai tyliai sekė milijonus vartotojų „Chrome“ ir „Edge“ naršyklėse. Kibernetinio saugumo specialistai teigia, kad vienas kūrėjas iš patikimų plėtinių padarė duomenų rinkimo priemones, kurios fiksavo naršymo istorijas, paspaustus saitus ir kitą jautrią informaciją.

Kaip naudingos priemonės tapo šnipinėjimo įrankiais

Pagal naują Koi Security tyrimą, vartotojas, žinomas kaip ShadyPanda, nuo 2018 m. įkėlė kelis iš pirmo žvilgsnio nekaltus plėtinius. Iš pradžių jie veikė kaip įprasti pagalbiniai papildiniai: tvarkė naršyklės nustatymus, siūlė optimizacijas ar keitė vartotojo sąsają. Kai kurie net gavo specialų patvirtinimą, kuris vartotojams atrodė kaip saugumo garantija. Tačiau augant įsidiegimų skaičiui, vėlesniuose atnaujinimuose atsirado kenkėjiško kodo, kuris iš šių įrankių padarė slaptus stebėjimo agentus.

Paveikti plėtiniai apsimetė naršyklės valdymo įrankiais ir kartu surinko daugiau nei 4,3 milijono įdiegimų „Chrome“ ir „Edge“ parduotuvėse. Išsiskiria keli pavadinimai: „Clean Master“, kuris vien tik užfiksavo virš 200 000 įdiegimų, ir „WeTab“, prisidėjęs prie milijonų įsidiegimų abiejuose puslapiuose. Tokie skaičiai rodo, kad net ribotos funkcionalumo priemonės gali turėti didelį pasiekiamumą ir daryti rimtą privatumo poveikį.

Tiriant atvejį, ekspertai įvardijo kelis galimus motyvus: asmeninių duomenų pardavimas, reklamos tinklų tikslinimas, profiliavimas arba tolesnių kenkėjiškų operacijų infrastruktūros stiprinimas. Svarbu pabrėžti, kad plėtinys gali turėti teisėtai atrodančių funkcijų vartotojui, bet kartu vykdyti ir nežinomą telemetrijos ar įvykių registravimo mechanizmą. Tai dar vienas priminimas apie plėtinių rizikas ir sudėtingus tiekimo grandinės išpuolius.

Kūrėjo strategija ir plėtinių gyvavimo ciklas

Analizuojant plėtinių kūrėjo veiklą matyti tipinė modelio seka: pradžioje priedas skelbiamas su ribota ir naudinga funkcija, vartotojai jį instaliuoja, sukuriamas pasitikėjimas ir teigiami atsiliepimai. Vėlesniuose atnaujinimuose pridedami nauji moduliai ar nuotolinio kodo užkrovimo mechanizmai, kurie gali būti įjungti selektyviai arba palaipsniui. Tokiu būdu plėtinys išlaiko poziciją parduotuvėje ir toliau pasiekia naujus vartotojus, kol kenkėjiškas elgesys pradės rinkti duomenis be išorinio dėmesio.

Techniniu požiūriu tai dažnai realizuojama per užklausas į nuotolinius JavaScript failus, konfigūracijas, kurios leidžia įjungti arba išjungti tam tikras funkcijas, ir per nuorodas į išorinius domenus, kuriuose saugomi komandiniai moduliai. Tokie sprendimai palengvina plėtinio „evoliuciją“ — kūrėjas gali greitai pakeisti elgesį be būtinybės atnaujinti pačią plėtinio paskyrą parduotuvėje.

Patikimumo iliuzija: patikrinimai ir įvertinimai

Vienas pavojingų veiksnių yra tai, kad plėtiniai gali gauti parduotuvių patvirtinimus ar teigiamus atsiliepimus, kurie vartotojams signalizuoja saugumą. Tačiau parduotuvių vertinimo procesai ne visada aptinka vėliau įdiegtą kenkėjišką logiką, ypač jeigu ji aktyvuojama nuotoliniu būdu arba naudojami apsaugos mechanizmai, slepiantys tikrąjį elgesį.

Kokie duomenys buvo renkami

Tyrėjai nustatė, kad plėtiniai nuolat rinko plačią signalų įvairovę: lankytų URL adresų sąrašą, paieškos istoriją, smulkų sąveikos su puslapiais sekimą — tokius požymius kaip pelės paspaudimai, navigacijos eiga, ir netgi informaciją, kurią galima atsekti iš HTTP referrer lauko. Be to, rinkti duomenys apėmė kartais ir techninius parametrus, pvz., naršyklės versiją, įdiegtų plėtinių identifikatorius arba kalbos nustatymus, kurie leidžia kurti detalesnius vartotojų profilius.

Renkiami signalai turėjo didelę granularumą: ne tik kokį puslapį vartotojas aplankė, bet ir kokie elementai buvo aktyvuoti, kurios nuorodos paspaustos ir kokiu tempu vartotojas judėjo per svetainės turinį. Tai leidžia rekonstruoti asmens elgesį, interesų sritis ir netgi slaptąsias sesijų charakteristikas, jeigu tokie duomenys derinami su papildoma informacija.

Duomenų perdavimo mechanizmai ir saugumas

Surinkta informacija periodiškai ir nereguliariai siunčiama į nežinomas nuotolines serverių infrastruktūras. Analitikai pastebėjo, kad perdavimai gali būti užšifruoti arba auklėti per tarpinį sluoksnį, kad būtų sunkiau nustatyti tiesioginį ryšį su plėtiniu. Kai kuriuose atvejuose priedai naudojo dinamiškai keičiamus domenus arba užklausų kamufliavimą kaip tinklo telemetriją, kad išvengtų paprastų aptikimo taisyklių.

Toks nuolatinis ir tylus duomenų nutekėjimas reiškia, kad netrukus po plėtinio įdiegimo naudotojo privatumas gali būti pažeistas — tačiau tai ne visuomet matyti akivaizdžiai. Todėl vartotojai neturėtų pasikliauti vien parduotuvės filtrais ar plėtinių reitingais.

Ką daryti dabar

„Google“ ir „Microsoft“ patvirtino, kad kenkėjiški plėtiniai buvo pašalinti iš jų internetinių parduotuvių, tačiau tai nereiškia, kad jie automatiškai išdiegti iš visų vartotojų įrenginių. Pašalinimas iš parduotuvės tik blokuoja naujus įdiegimus ir atnaujinimus per oficialią platformą — esami vartotojai turi imtis veiksmų patys.

Skubi asmeninė veiksmų eiga

Jeigu įtariate, kad galėjote turėti pažeidžiamą plėtinį, atlikite šiuos veiksmus kuo skubiau:

Peržiūrėkite visus naršyklės plėtinius ir išjunkite arba pašalinkite viską, kas yra nepažįstama, nebereikalinga ar atrodo įtartinai.
Atnaujinkite naršyklę iki naujausios versijos — naujausi leidimai dažnai turi papildomas apsaugos priemones, kurios aptinka ir neleidžia aktyvuotis žinomiems kenkėjiškiems plėtiniams.
Išvalykite sinchronizuotus naršyklės duomenis (jei naudojate paskyros sinchronizavimą), kad pašalintumėte bet kokius užfiksuotus konfigūracijos elementus ar istoriją, perduodamą tarp įrenginių.
Atsijunkite ir vėl prisijunkite prie naršyklės paskyros, ypač jei pastebite, jog jūsų nustatymai buvo pakeisti arba sinchronizacija išlieka nepageidaujamai nustatyta.
Ieškokite pasikeitimų elgesyje: neįprasti nukreipimai, reklamos skaitymas, ir dažnas autentifikavimo prašymas gali būti signalai apie tolesnius rizikos veiksnius.

Techninės ir saugumo priemonės

Jei po plėtinio pašalinimo pastebėjote įtartiną elgesį, atlikite pilną sistemos nuskaitymą patikima antivirusine ar antimalware programine įranga. Keiskite slaptažodžius svarbioms paskyroms (el. paštui, bankams, socialiniams tinklams) ir įjunkite daugiafaktorinę autentifikaciją, kur įmanoma.

Įmonėms ir IT administratorių komandai rekomenduojama užblokuoti nepatikimus plėtinius saugos politikoje, vykdyti centralizuotą plėtinių valdymą ir stebėti tinklo srautus dėl neįprastų užklausų į nežinomus domenus. Taip pat verta įdiegti sprendimus, kurie gali atpažinti ir blokuoti nuotolinio kodo įkėlimą, bei naudoti programinės įrangos tiekimo grandinės peržiūras.

Prevencijos gairės ir gerosios praktikos

Šis incidentas primena, kad net patikimais atrodantys plėtiniai laikui bėgant gali tapti grėsme. Todėl verta taikyti kelias paprastas, bet efektyvias gaires:

Ribokite plėtinių diegimą tik patikrintiems ir žinomiems kūrėjams.
Nuolat peržiūrėkite leidimus, kuriuos prašo plėtinys — jeigu paprastai nereikalingas leidimas reikalaujamas netikėtai, verta susimąstyti.
Naudokite naršyklės saugos nustatymus ir papildomas apsaugos priemones, pavyzdžiui, plėtinių patvirtinimo įrankius ar centralizuotas politikos taisykles.
Užtikrinkite, kad organizacijos darbuotojai būtų mokomi atpažinti rizikas ir žinotų, kaip pranešti apie įtartinas programėles ar elgesį.

Ilgalaikė strategija turi apimti tiek techninius sprendimus, tiek vartotojų švietimą — tik taip galima sumažinti tiek individualią, tiek organizacinę riziką.

Galiausiai, svarbu stebėti oficialias saugumo ataskaitas ir patikimų mokslinių ar pramonės šaltinių pranešimus. Koi Security ir kiti saugumo tyrimų centrai dažnai skelbia detalesnius techninius pranešimus su IOC (indikatoriais, kurie gali padėti aptikti pažeidimus), taisyklėmis aptikimui ir rekomendacijomis, kaip reaguoti į panašius incidentus.

Apibendrinant: nors interneto parduotuvės ir plėtinių ekosistemos suteikia patogumą, jos taip pat gali tapti atakos vektoriais. Nuolatinis budrumas, reguliarus plėtinių auditas ir greita reakcija į įtartiną veiklą yra pagrindiniai žingsniai, leidžiantys apsaugoti asmeninį privatumo lygį ir organizacijos saugumą.

Jeigu norite toliau gilintis, sekite naujienas iš patikimų kibernetinio saugumo šaltinių, peržiūrėkite konkrečius plėtinių pavadinimus, kurie minėti ataskaitoje, ir pritaikykite rekomenduojamus mitigacijos veiksmus savo aplinkoje.

Šaltinis: smarti

Viltė Petrauskaitė

Sveiki! Esu Viltė, kasdien sekanti technologijų naujienas iš viso pasaulio. Mano darbas – pateikti jums svarbiausius ir įdomiausius IT pasaulio įvykius aiškiai ir glaustai.

Palikite komentarą

Komentarai

Marius

prieš 2 mėnesius

Na va, vėl triukšmas dėl plėtinių. Gal per daug dramatizuojama, bet baisu. Reikėtų griežtesnių taisyklių ir aiškumo, patikrinkit addon'us

Atsakyti

Duompuls

prieš 2 mėnesius

Va čia jau rimta... Nustebau, kad tie 'naudingieji' priedai tylomis rinko viską. Kaip jie tiek metų praslydo per patikrinimus? jei tas kūrėjas galėjo taip ilgai, hm.

Atsakyti

Kaip naršyklės plėtiniai šnipinėjo milijonus vartotojų

Kaip naudingos priemonės tapo šnipinėjimo įrankiais

Kūrėjo strategija ir plėtinių gyvavimo ciklas

Patikimumo iliuzija: patikrinimai ir įvertinimai

Kokie duomenys buvo renkami

Duomenų perdavimo mechanizmai ir saugumas

Ką daryti dabar

Skubi asmeninė veiksmų eiga

Techninės ir saugumo priemonės

Prevencijos gairės ir gerosios praktikos

Palikite komentarą

Komentarai

Marius

Duompuls

Susijusios straipsniai

Humanoidiniai robotai BMW gamyklose: nauja pramonės era

Išmanieji akiniai ir paslėptas žmonių peržiūrėjimas

Inžinierių laiškas prieš karišką dirbtinį intelektą

Poco X8 Pro serija su Dimensity 8500 Ultra ir 9500s apžvalga

Windows 12: ar 2026 m. paleidimas tikras? Išsami analizė

Xiaomi XRING O2: naujos kartos mobilieji lustai ir planai

Google įspėjimai Play parduotuvėje dėl akumuliatoriaus

Galaxy A37 ir A57: ar brangs Samsung vidutinės klasės?

Ar Starship skrydis Nr.12 taps NASA patikima raketa?

Apple M5 MacBook Pro: naujos kainos, specifikacijos ir analizė

Oppo Find X9 Ultra: 100W įkrovimas ir kameros naujienos

Ar OpenAI kuria GitHub alternatyvą — kas tai reiškia