Törölje ezeket a bővítményeket a Chrome böngészőjéből, mert Ön után kémkednek!

A McAfee összesen öt olyan Chrome-os böngészőbővítményre hívja fel a figyelmet, amelyek titokban nyomon követik a felhasználókat. Aki véletlenül telepítette ezek valamelyikét, javasolt mielőbb törölnie.

A rosszindulatú bővítmények általában nyújtanak valamilyen szolgáltatást, az egyik például Netflix műsorok közös nézését teszi lehetővé (lásd: 1. ábra), azonban valódi céljuk az, hogy kifigyeljék, hogy a felhasználó mikor látogat meg egy e-kereskedelmi weboldalt, és aszerint módosítsák a a weboldal cookie-kat, hogy úgy tűnjön, mintha a felhasználó egy hivatkozáson (referer) keresztül jutott volna a weboldalra. A bővítmények készítői a webshopokon leadott rendelések után kapják a fizetségüket.

Ábra 1. Forrás: McAfee

A rosszindulatú böngészőbővítmények működése

A különböző rosszindulatú böngészőbővítmények működése azonos, vagyis a webalkalmazások manifest fájljai (metaadatokat tartalmazó speciális fájl) (“manifest.json” file) betöltenek egy többfunkciós szkriptet (B0.js), ami a böngészési adatokat a böngészőbővítmények készítőinek tartományába küldi (langhort[.]com). Minden alkalommal, amikor a felhasználó felkeres egy új URL címet, az adatok POST kérésekkel kerülnek továbbításra, többek között az URL-ek base64 formátumban, a felhasználói azonosítók, az eszközök helyadatai (ország, város, irányítószám), illetve egy kódolt referen URL. Amennyiben a meglátogatott weboldal bármely bejegyzése megegyezik a bővítmény készítőivel aktív kapcsolatban álló weboldalak valamelyikével a B0.js két lehetséges funkció valamelyikével válaszolhat:

  • “Result[‘c’] – passf_url“ – parancsot ad a szkriptnek, hogy a megadott URL-t (referer linket) illessze be iframe-ként a meglátogatott webhelyre.
  • “Result[‘e’] setCookie” – arra utasítja a B0.js-t, hogy módosítsa a cookie-kat, vagy – amennyiben megvan az ehhez szükséges engedély – cserélje ki azokat a megadott sütikkel.

A McAfee egy videót is közzétett, amelyben demonstrálja a fentieket.

A böngészőbővítmények képesek az általuk ígért funkciókra, így nehezebben észrevehető a háttérben végzett rosszindulatú tevékenységük, amit ráadásul csak 15 nappal a telepítést követően kezdenek meg, ezzel is csökkentve a felfedezhetőségüket.

A szóban forgó rosszindulatú böngészőbővítmények az alábbiak:

Netflix Party – 800 000 letöltés nem elérhető
Netflix Party 2 – 300 000 letöltés nem elérhető
Full Page Screenshot Capture – 200 000 letöltés elérhető
FlipShop – Price Tracker Extension – 80 000 letöltés elérhető
AutoBuy Flash Sales – 20 000 letöltés nem elérhető

Figyelem! Bár a cikk írásakor már csak a Full Page Screenshot Capture és a FlipShop – Price Tracker Extension érhető el a Chrome webáruházban, azoknak a felhasználóknak, akik a fent felsorolt bővítmények bármelyikét is telepítették, manuálisan kell eltávolítaniuk a böngészőjükből.

(bleepingcomputer.com)