Các tiện ích mở rộng trình duyệt biến gần 1 triệu trình duyệt thành các bot thu thập dữ liệu từ trang web.

Một nhà nghiên cứu cho biết, các tiện ích mở rộng được cài đặt trên gần 1 triệu thiết bị đã vượt qua các biện pháp bảo vệ bảo mật quan trọng để biến trình duyệt thành công cụ quét các trang web thay mặt cho dịch vụ trả phí.

245 tiện ích mở rộng, có sẵn cho Chrome, Firefox và Edge, đã đạt được gần 909.000 lượt tải xuống, John Tuckner của SecurityAnnex báo cáo. Các tiện ích mở rộng phục vụ nhiều mục đích khác nhau, bao gồm quản lý dấu trang và bảng tạm, tăng âm lượng loa và tạo số ngẫu nhiên. Chủ đề chung giữa tất cả chúng: Chúng kết hợp MellowTel-js, một thư viện JavaScript mã nguồn mở cho phép các nhà phát triển kiếm tiền từ tiện ích mở rộng của họ.

Cố ý làm suy yếu các biện pháp bảo vệ duyệt web

Tuckner và các nhà phê bình cho rằng việc kiếm tiền hoạt động bằng cách sử dụng các tiện ích mở rộng trình duyệt để cạo các trang web thay mặt cho khách hàng trả tiền, bao gồm cả các công ty khởi nghiệp AI, theo người sáng lập MellowTel Arsian Ali. Tuckner đưa ra kết luận này sau khi phát hiện ra mối quan hệ chặt chẽ giữa MellowTel và Olostep, một công ty tự nhận mình là “API cạo web đáng tin cậy và tiết kiệm chi phí nhất thế giới.” Olostep cho biết dịch vụ của họ “tránh tất cả các phát hiện bot và có thể song song hóa tối đa 100K yêu cầu trong vài phút.” Khách hàng trả tiền gửi vị trí của trình duyệt mà họ muốn truy cập các trang web cụ thể. Olostep sau đó sử dụng cơ sở người dùng tiện ích mở rộng đã cài đặt để thực hiện yêu cầu.

“Điều này có vẻ rất giống với hướng dẫn cạo mà chúng tôi đã thấy khi xem thư viện MellowTel hoạt động,” Tuckner viết sau khi phân tích mã MellowTel. “Tôi tin rằng chúng tôi có lý do chính đáng để nghĩ rằng các yêu cầu thu thập dữ liệu từ Olostep sẽ được phân phối tới bất kỳ tiện ích mở rộng đang hoạt động nào đang chạy thư viện MellowTel.”

Về phần mình, người sáng lập MellowTel đã nói mục đích của thư viện là “chia sẻ băng thông [users’] (không nhồi các liên kết liên kết, quảng cáo không liên quan hoặc phải thu thập dữ liệu cá nhân).” Ông tiếp tục nói rằng lý do chính khiến các công ty trả tiền cho lưu lượng truy cập là truy cập dữ liệu có sẵn công khai từ các trang web theo cách đáng tin cậy và tiết kiệm chi phí.“ Người sáng lập cho biết các nhà phát triển tiện ích mở rộng nhận được 55% doanh thu và MellowTel bỏ túi phần còn lại.

Bất chấp những đảm bảo, Tuckner cho biết các tiện ích mở rộng kết hợp MellowTel gây rủi ro cho người dùng cài đặt chúng. Một lý do cho điều này là MellowTel khiến các tiện ích mở rộng kích hoạt a websocket kết nối với máy chủ AWS để thu thập vị trí, băng thông khả dụng, nhịp tim và trạng thái của người dùng tiện ích mở rộng. Bên cạnh việc xói mòn quyền riêng tư, websocket còn đưa vào một ẩn số iframe vào trang mà người dùng hiện đang xem kết nối với danh sách các trang web được chỉ định bởi máy chủ Amazon Web Services. Không có cách nào người dùng cuối thông thường có thể xác định những trang web nào đang được mở trong iframe vô hình.

Tuckner đã viết:

Không nên có một số biện pháp bảo vệ để ngăn chặn điều này xảy ra? Làm thế nào bạn có thể dễ dàng tải nội dung ngoài ý muốn bên trong bất kỳ trang web nào?

Vâng, thông thường có những biện pháp bảo vệ để ngăn chặn điều này. Các tiêu đề bảo mật máy chủ web phổ biến như Content-Security-Policy và X-Frame-Options sẽ ngăn điều này xảy ra. Tuy nhiên, hãy nhớ rằng thư viện đã yêu cầu declarativeNetRequest và quyền truy cập được thêm vào bảng kê khai nếu nó chưa? Những quyền đó cho phép sửa đổi các yêu cầu và phản hồi trên web khi chúng được thực hiện. Thư viện tự động sửa đổi các quy tắc sẽ xóa tiêu đề bảo mật khỏi phản hồi của máy chủ web và sau đó yêu cầu thêm chúng trở lại sau khi trang web đã tải.

“Sự suy yếu của tất cả hoạt động duyệt web này có thể khiến người dùng bị tấn công như tập lệnh chéo trang mà thường bị ngăn chặn trong điều kiện bình thường,” Tuckner tiếp tục viết. “Không chỉ người dùng của bạn vô tình trở thành bot mà việc duyệt web thực tế của họ cũng dễ bị tổn thương hơn.”

MellowTel cũng có vấn đề vì người dùng cuối không biết các trang web mà nó mở. Điều đó có nghĩa là họ phải tin tưởng MellowTel để kiểm tra tính bảo mật và độ tin cậy của từng trang web đang được truy cập. Và, tất nhiên, rằng an ninh và đáng tin cậy có thể thay đổi với một thỏa hiệp duy nhất của một trang web. MellowTel cũng gây rủi ro cho các mạng doanh nghiệp hạn chế chặt chẽ các loại mã mà người dùng được phép chạy và các trang web họ truy cập.