A McAfee összesen öt olyan Chrome-os böngészőbővítményre hívja fel a figyelmet, amelyek titokban nyomon követik a felhasználókat. Aki véletlenül telepítette ezek valamelyikét, javasolt mielőbb törölnie.
A rosszindulatú bővítmények általában nyújtanak valamilyen szolgáltatást, az egyik például Netflix műsorok közös nézését teszi lehetővé (lásd: 1. ábra), azonban valódi céljuk az, hogy kifigyeljék, hogy a felhasználó mikor látogat meg egy e-kereskedelmi weboldalt, és aszerint módosítsák a a weboldal cookie-kat, hogy úgy tűnjön, mintha a felhasználó egy hivatkozáson (referer) keresztül jutott volna a weboldalra. A bővítmények készítői a webshopokon leadott rendelések után kapják a fizetségüket.
A rosszindulatú böngészőbővítmények működése
A különböző rosszindulatú böngészőbővítmények működése azonos, vagyis a webalkalmazások manifest fájljai (metaadatokat tartalmazó speciális fájl) (“manifest.json” file) betöltenek egy többfunkciós szkriptet (B0.js), ami a böngészési adatokat a böngészőbővítmények készítőinek tartományába küldi (langhort[.]com). Minden alkalommal, amikor a felhasználó felkeres egy új URL címet, az adatok POST kérésekkel kerülnek továbbításra, többek között az URL-ek base64 formátumban, a felhasználói azonosítók, az eszközök helyadatai (ország, város, irányítószám), illetve egy kódolt referen URL. Amennyiben a meglátogatott weboldal bármely bejegyzése megegyezik a bővítmény készítőivel aktív kapcsolatban álló weboldalak valamelyikével a B0.js két lehetséges funkció valamelyikével válaszolhat:
- “Result[‘c’] – passf_url“ – parancsot ad a szkriptnek, hogy a megadott URL-t (referer linket) illessze be iframe-ként a meglátogatott webhelyre.
- “Result[‘e’] setCookie” – arra utasítja a B0.js-t, hogy módosítsa a cookie-kat, vagy – amennyiben megvan az ehhez szükséges engedély – cserélje ki azokat a megadott sütikkel.
A McAfee egy videót is közzétett, amelyben demonstrálja a fentieket.
A böngészőbővítmények képesek az általuk ígért funkciókra, így nehezebben észrevehető a háttérben végzett rosszindulatú tevékenységük, amit ráadásul csak 15 nappal a telepítést követően kezdenek meg, ezzel is csökkentve a felfedezhetőségüket.
A szóban forgó rosszindulatú böngészőbővítmények az alábbiak:
| Netflix Party – 800 000 letöltés | nem elérhető |
| Netflix Party 2 – 300 000 letöltés | nem elérhető |
| Full Page Screenshot Capture – 200 000 letöltés | elérhető |
| FlipShop – Price Tracker Extension – 80 000 letöltés | elérhető |
| AutoBuy Flash Sales – 20 000 letöltés | nem elérhető |
Figyelem! Bár a cikk írásakor már csak a Full Page Screenshot Capture és a FlipShop – Price Tracker Extension érhető el a Chrome webáruházban, azoknak a felhasználóknak, akik a fent felsorolt bővítmények bármelyikét is telepítették, manuálisan kell eltávolítaniuk a böngészőjükből.
