Google đang lưu trữ hàng chục tiện ích mở rộng trong Cửa hàng Chrome trực tuyến của mình để thực hiện các hành động đáng ngờ trên hơn 4 triệu thiết bị đã cài đặt chúng và các nhà phát triển của họ đã cố gắng che giấu cẩn thận.
Các tiện ích mở rộng, cho đến nay có ít nhất 35, sử dụng cùng một mẫu mã, kết nối với một số máy chủ giống nhau và yêu cầu cùng một danh sách các quyền hệ thống nhạy cảm, bao gồm khả năng tương tác với lưu lượng truy cập web trên tất cả các URL đã truy cập, truy cập cookie, quản lý các tab trình duyệt và thực thi các tập lệnh. Chi tiết hơn, các quyền là:
Tabs: Quản lý và tương tác với các cửa sổ trình duyệt.
Cookies: Thiết lập và truy cập các cookie đã lưu dựa trên tên cookie hoặc tên miền (ví dụ: cookie "Authorization" hoặc "tất cả cookie của trang GitHub.com").
WebRequest: Chặn và sửa đổi các yêu cầu web (web requests) mà trình duyệt thực hiện.
Storage (Lưu trữ): Khả năng lưu trữ một lượng nhỏ thông tin một cách bền vững trên trình duyệt (các tiện ích mở rộng này dùng để lưu cấu hình điều khiển "lệnh và kiểm soát" - C&C tại đây).
Scripting (Lập trình kịch bản): Khả năng chèn các đoạn mã JavaScript mới vào các trang web và thao tác với cấu trúc DOM (nội dung trang web).
Alarms (Báo thức/Hẹn giờ): Một dịch vụ nhắn tin nội bộ để kích hoạt các sự kiện. Tiện ích mở rộng sử dụng quyền này để kích hoạt các sự kiện giống như một tác vụ tự động (cron job), cho phép lên lịch thực hiện các phản hồi kiểm tra trạng thái (heartbeat callbacks).
: Quyền này hoạt động song song với các quyền khác như webRequest, nhưng nó cho phép tiện ích mở rộng tương tác với toàn bộ hoạt động duyệt web của bạn (đây là điều hoàn toàn không cần thiết đối với một tiện ích đáng lẽ chỉ có chức năng xem danh sách các tiện ích đã cài đặt của bạn).
Các loại quyền này cung cấp cho các tiện ích mở rộng khả năng thực hiện tất cả các loại điều có khả năng lạm dụng và, như vậy, chỉ nên được cấp một cách thận trọng cho các tiện ích mở rộng đáng tin cậy không thể thực hiện các chức năng cốt lõi mà không có chúng.
Nghi ngờ hoặc nghi ng
“Tại thời điểm này, thông tin này đủ để bất kỳ tổ chức nào loại bỏ thông tin này ra khỏi môi trường của họ một cách hợp lý vì nó gây ra rủi ro không cần thiết,” John Tuckner, người sáng lập công ty phân tích tiện ích mở rộng trình duyệt Secure Annex và là nhà nghiên cứu tình cờ tìm thấy cụm tiện ích mở rộng, đã viết trong một bài đăng được xuất bản hôm thứ Năm. Trong một email, ông cho biết sự cho phép duy nhất cần thiết cho một số tiện ích mở rộng là quản lý. “Theo truyền thống, một số tiện ích mở rộng khác như ‘Browse Securey’ có thể yêu cầu nhiều quyền hơn như ‘webRequest’ để chặn các trang web độc hại, nhưng những thứ như quyền truy cập vào ‘cookies’ chắc chắn không cần thiết trong danh sách đầy đủ,” ông nói.
Các tiện ích mở rộng có những điểm tương đồng đáng ngờ hoặc đáng ngờ khác. Phần lớn mã trong mỗi mã đều rất khó hiểu, một lựa chọn thiết kế không mang lại lợi ích gì ngoài việc làm phức tạp quá trình phân tích và hiểu cách nó hoạt động.
Tất cả trừ một trong số đó không công khai trong Cửa hàng Chrome trực tuyến. Chỉ định này làm cho một tiện ích mở rộng chỉ hiển thị cho người dùng có chuỗi giả ngẫu nhiên dài trong URL tiện ích mở rộng và do đó, chúng không xuất hiện trong Cửa hàng Web hoặc kết quả tìm kiếm của công cụ tìm kiếm. Không rõ làm thế nào 35 tiện ích mở rộng chưa được niêm yết này có thể thu về tổng cộng 4 triệu lượt cài đặt, hoặc trung bình khoảng 114.000 lượt cài đặt cho mỗi tiện ích mở rộng, trong khi chúng rất khó tìm.
Ngoài ra, 10 trong số chúng được đóng dấu ký hiệu “Featured” mà Google dự trữ dành cho các nhà phát triển có danh tính đã được xác minh và “tuân theo các phương pháp kỹ thuật tốt nhất của chúng tôi và đáp ứng tiêu chuẩn cao về trải nghiệm người dùng và thiết kế.”
Một ví dụ là phần mở rộng Bảo vệ mở rộng Fire Shield, trớ trêu thay, điều này có mục đích kiểm tra cài đặt Chrome để phát hiện sự hiện diện của bất kỳ tiện ích mở rộng đáng ngờ hoặc độc hại nào. Một trong những tệp JavaScript chính mà nó chạy tham chiếu đến một số miền có vấn đề, nơi chúng có thể tải lên dữ liệu và tải xuống hướng dẫn cũng như mã:
URL mà Fire Shield Extension Protection tham chiếu trong mã của nó. Tín dụng: Phụ lục an toàn
Một miền cụ thể—unknow.com—is được liệt kê trong 34 ứng dụng còn lại.
Tuckner đã thử phân tích những gì tiện ích mở rộng đã làm trên trang web này nhưng phần lớn bị cản trở bởi mã bị xáo trộn và các bước khác mà nhà phát triển đã thực hiện để che giấu hành vi của họ. Ví dụ: khi nhà nghiên cứu chạy tiện ích mở rộng Fire Shield trên thiết bị phòng thí nghiệm, nó đã mở một trang web trống. Nhấp vào biểu tượng của tiện ích mở rộng đã cài đặt thường cung cấp menu tùy chọn, nhưng Fire Shield không hiển thị gì khi anh ấy làm điều đó. Tuckner sau đó đã bắn một nhân viên dịch vụ nền trong các công cụ dành cho nhà phát triển Chrome để tìm kiếm manh mối về những gì đang xảy ra. Anh sớm nhận ra rằng tiện ích mở rộng được kết nối với URL tại fireshieldit.com và thực hiện một số hành động trong danh mục chung “browser_action_clicked.” Anh ta cố gắng kích hoạt các sự kiện bổ sung nhưng lại trắng tay.
Vì vậy, Tuckner đã thử một chiến thuật mới. Anh ấy đã tìm thấy một cấu hình mà ai đó có đã tải lên nhiều năm trước, GitHub dành cho Duyệt web an toàn cho Chrome, một tiện ích mở rộng khác trong danh sách của anh ấy (kể từ đó nó đã đổi tên thành Kết nối bảo mật bằng trình duyệt bảo mật. Người dùng GitHub đã tải tệp lên đã làm như vậy vì họ tin rằng tiện ích mở rộng này độc hại.
Khi Tuckner tải ID duy nhất cho tiện ích mở rộng này vào bản cài đặt Fire Shield của mình, nó đột nhiên bắt đầu gửi nhiều sự kiện khác nhau đến máy chủ theo dõi hành vi của người dùng, chẳng hạn như trang web anh ấy đang truy cập, trang web nào trước lần truy cập đó và kích thước của màn hình hiển thị của anh ấy. Nhà nghiên cứu vẫn chưa tìm thấy bằng chứng cho thấy Fire Shield hoặc bất kỳ tiện ích mở rộng nào khác là độc hại, nhưng những gì anh ta thấy là đủ để loại bỏ mọi nghi ngờ hợp lý.
“Trong khi tôi không thể tìm thấy một phiên bản của phần mở rộng exfiltrating thông tin đăng nhập, mức độ này của obfuscation, cùng với khả năng cho các cấu hình của phần mở rộng được điều khiển từ xa, và các khả năng trong phần mở rộng của trình duyệt mã là đủ để tôi đi đến cùng một kết luận rằng tất cả các phần mở rộng này bao gồm một số loại phần mềm gián điệp hoặc infostealer,” ông viết. “Đó cuối cùng là vấn đề và mối đe dọa mà các tiện ích mở rộng này gây ra khi chúng có thể được điều khiển từ xa.”
Khám phá này đóng vai trò như lời nhắc nhở mới nhất rằng có những hậu quả trong thế giới thực khi cài đặt tiện ích mở rộng cho Chrome, Firefox hoặc bất kỳ trình duyệt nào khác, cũng như có những hậu quả khi cài đặt ứng dụng điện thoại. Google, Apple và những người khác liên tục thúc đẩy chúng tôi cài đặt càng nhiều trong số này càng tốt. Đây là lời khuyên kém. Tiện ích mở rộng và ứng dụng chỉ nên được cài đặt khi chúng cung cấp một lợi ích mà không thể có được bằng cách khác. Thậm chí sau đó, chúng chỉ nên được cài đặt sau khi đọc các đánh giá gần đây để xem loại trải nghiệm mà người khác đã có và xem xét nhà phát triển. Các bước này đặc biệt quan trọng khi cài đặt tiện ích mở rộng hoặc ứng dụng từ Google, do tỷ lệ ác ý được báo cáo trong thập kỷ qua từ các dịch vụ của Google cao hơn nhiều.
Danh sách đầy đủ các extension là:
Fire Shield Chrome Safety (Khiên lửa bảo vệ Chrome)
Safe Search for Chrome (Tìm kiếm an toàn cho Chrome)
Fire Shield Extension Protection (Khiên lửa bảo vệ tiện ích)
Browser Checkup for Chrome by Doctor (Bác sĩ kiểm tra trình duyệt Chrome)
Protecto for Chrome (Bảo vệ Chrome bởi Protecto)
Unbiased Search by Protecto (Tìm kiếm khách quan bởi Protecto)
Securify Your Browser (Bảo mật trình duyệt của bạn)
Web Privacy Assistant (Trợ lý quyền riêng tư web)
Securify Kid Protection (Bảo vệ trẻ em bởi Securify)
Bing Search by Securify (Tìm kiếm Bing bởi Securify)
Browse Securely for Chrome (Duyệt web an toàn cho Chrome)
Better Browse by SecurySearch (Duyệt web tốt hơn bởi SecurySearch)
Check My Permissions for Chrome (Kiểm tra quyền hạn của tôi trên Chrome)
Website Safety for Chrome (An toàn trang web cho Chrome)
MultiSearch for Chrome (Đa tìm kiếm cho Chrome)
Global search for Chrome (Tìm kiếm toàn cầu cho Chrome)
Map Search for Chrome (Tìm kiếm bản đồ cho Chrome)
Watch Tower Overview (Tổng quan tháp canh)
Incognito Shield for Chrome (Khiên ẩn danh cho Chrome)
In Site Search for Chrome (Tìm kiếm trong trang cho Chrome)
Privacy Guard for Chrome (Vệ binh quyền riêng tư cho Chrome)
Yahoo Search by Ghost (Tìm kiếm Yahoo bởi Ghost)
Private Search for Chrome (Tìm kiếm riêng tư cho Chrome)
Total Safety for Chrome (An toàn tuyệt đối cho Chrome)
Data Shield for Chrome (Khiên dữ liệu cho Chrome)
Browser WatchDog for Chrome (Chó săn bảo vệ trình duyệt)
Incognito Search for Chrome (Tìm kiếm ẩn danh cho Chrome)
Web Results for Chrome (Kết quả web cho Chrome)
Cuponomia – Coupon and Cashback (Mã giảm giá và hoàn tiền)
Securify for Chrome (Securify cho Chrome)
Securify Advanced Web Protection (Bảo vệ web nâng cao Securify)
News Search for Chrome (Tìm kiếm tin tức cho Chrome)
SecuryBrowse for Chrome (Duyệt web an toàn Secury)
ID mở rộng và các chỉ số thỏa hiệp khác xuất hiện trong bài đăng hôm thứ Năm và bảng tính này biên soạn bởi Tuckner. Bất cứ ai đã cài đặt một trong những tiện ích mở rộng này nên xóa nó ngay lập tức. Google đã không trả lời ngay lập tức các câu hỏi hỏi liệu công ty có đang điều tra hay không và họ đã thực hiện kiểm tra gì trong việc trao chỉ định Nổi bật cho một số ứng dụng này. Các câu hỏi được gửi đến một số địa chỉ email được liệt kê trong các chính sách mở rộng cũng không nhận được phản hồi.
