W sklepie Chrome Web Store znajdują się dziesiątki rozszerzeń, które wzbudzają poważne wątpliwości ze względu na swoje działania oraz sposób, w jaki ich twórcy ukrywają rzeczywiste funkcje. Według najnowszych ustaleń badacza Johna Tucknera z firmy Secure Annex, co najmniej 35 takich rozszerzeń zostało zainstalowanych na ponad 4 milionach urządzeń.
Rozszerzenia te łączy podobny kod, kontakt z tymi samymi serwerami oraz identyczna lista wrażliwych uprawnień systemowych. Wśród nich znajdują się między innymi: możliwość zarządzania zakładkami, dostęp do plików cookie, przechwytywanie ruchu sieciowego, wstrzykiwanie kodu JavaScript do odwiedzanych stron czy wykorzystywanie funkcji zarządzania przeglądarką.
Niepokojące uprawnienia
Pełna lista przyznanych uprawnień obejmuje:
-
Tabs: Zarządzanie oknami przeglądarki;
-
Cookies: Odczytywanie i ustawianie plików cookie według domen lub nazw (np. „Authorization” lub wszystkie cookie dla GitHub.com);
-
WebRequest: Przechwytywanie i modyfikowanie żądań sieciowych;
-
Storage: Przechowywanie danych konfiguracyjnych w przeglądarce;
-
Scripting: Wstrzykiwanie kodu JavaScript i manipulacja strukturą strony;
-
Alarms: Tworzenie zaplanowanych zdarzeń (jak np. cykliczne zapytania „heartbeat”);
-
Management API: Monitorowanie całej aktywności przeglądarki, co według eksperta jest zupełnie zbędne w przypadku rozszerzenia służącego jedynie do przeglądania listy zainstalowanych dodatków.
Tak szeroki zakres uprawnień sprawia, że rozszerzenia te mogą zostać wykorzystane w sposób szkodliwy, dlatego też powinny być stosowane wyłącznie przez zaufanych twórców, jeśli są one absolutnie niezbędne dla działania aplikacji.
Ukryte i zaciemnione
Według Tucknera, każde z 35 rozszerzeń wymaga tylko jednego uprawnienia – właśnie tego, które pozwala zarządzać innymi rozszerzeniami. Mimo to posiadają znacznie szerszy zakres dostępu. Co więcej, kod tych rozszerzeń jest silnie zaciemniony – co nie przynosi żadnej korzyści użytkownikowi, a jedynie utrudnia analizę działania.
Większość z tych rozszerzeń nie jest publicznie dostępna w sklepie Chrome. Mają one status „nieopublikowane” (unlisted), co oznacza, że można je zainstalować tylko znając konkretny, losowy link – nie pojawiają się więc ani w wynikach wyszukiwania sklepu, ani w przeglądarkach internetowych.
Mimo tej ukrytej natury, dodatki te osiągnęły łącznie ponad 4 miliony instalacji – czyli średnio około 114 tysięcy instalacji na rozszerzenie – co budzi pytania, w jaki sposób użytkownicy znajdowali te dodatki i kto je promował.
Fałszywe oznaczenie „Polecane”?
Sytuację dodatkowo komplikuje fakt, że aż 10 z tych podejrzanych rozszerzeń otrzymało status „Featured” (Polecane), który Google zarezerwował dla dodatków twórców zweryfikowanych, spełniających najwyższe standardy techniczne i oferujących wysoką jakość działania oraz designu.
Fakt, że rozszerzenia o tak wątpliwych funkcjach i ukrytej naturze mogły uzyskać takie oznaczenie, poddaje w wątpliwość skuteczność systemów weryfikacyjnych Google. Eksperci ostrzegają, że firmy i użytkownicy indywidualni powinni dokładnie sprawdzać, jakie dodatki instalują – i w przypadku podejrzeń jak najszybciej je usuwać.
