Інтернет-конфіденційність під загрозою: в Google Chrome виявили 287 розширень, що збирають історію переглядів

Фахівець із кібербезпеки під псевдонімом Q Continuum заявив про виявлення 287 розширень для браузера Google Chrome, які передають історію переглядів користувачів на сторонні сервери. Про це йдеться у дослідницькому звіті експерта.

За його даними, до збору даних можуть бути причетні різні компанії та структури, зокрема Similarweb, Curly Doggo, Offidocs, низка китайських компаній, невідомі дата-брокери, а також Big Star Labs, яку дослідник називає ймовірною дочірньою структурою Similarweb.

Як проводилося дослідження

Для аналізу експерт створив автоматизований конвеєр тестування:

• запускав ізольовані екземпляри Chrome;

• встановлював окремі розширення;

• відвідував заздалегідь визначений набір сайтів;

• фіксував вихідні мережеві з’єднання.

Тестове середовище працювало у контейнері Docker, що дозволяло ізольовано та послідовно перевіряти кожне розширення.

Які ризики для користувачів і компаній

На думку дослідника, масовий збір історії переглядів може створювати серйозні ризики, зокрема:

• корпоративне шпигунство — через розкриття внутрішніх URL-адрес компаній;

• компрометацію облікових записів — якщо разом із URL передаються файли cookie;

• відстеження активних веб-сеансів користувачів.

Експерт пояснює, що якщо мережевий трафік розширення зростає пропорційно довжині відвіданого URL, це може свідчити про передачу повного веб-адреса або навіть HTTP-запиту на віддалений сервер.

Які категорії розширень фігурують у звіті

Серед розширень із потенційно ризикованою поведінкою — інструменти з мільйонами користувачів у таких категоріях:

• VPN та проксі-сервіси;

• пошук купонів і знижок;

• PDF-інструменти;

• браузерні утиліти та блокувальники реклами.

У звіті згадуються, зокрема:

• Stylish

• BlockSite

• Stay Focused

• SimilarWeb

• WOT: Website Security & Safety Checker

• Video Ad Blocker Plus for YouTube

• CrxMouse

Деякі з них запитували широкі крос-доменні дозволи (host permissions), що дозволяє відстежувати навігацію користувачів на різних сайтах.

Спроби приховати передачу даних

Окрему увагу дослідник звернув на методи маскування трафіку. Частина розширень використовувала:

• кодування Base64 і ROT47;

• стиснення LZ-String;

• повне шифрування AES-256 із застосуванням RSA-OAEP.

Після розшифрування, за словами експерта, було виявлено передачу «сирих» URL-адрес пошуку Google, реферальних сторінок, ідентифікаторів користувачів і часових міток на приватні домени та хмарні інфраструктури.

Не всі випадки — зловмисні

Водночас дослідник наголосив, що не всі розширення з передачею історії переглядів обов’язково мають злочинні наміри. У деяких випадках збір даних може бути частиною функціоналу, наприклад для сервісів безпеки чи аналітики.

Він також зазначив, що частину помилкових спрацьовувань довелося вручну виключати з результатів автоматичного сканування.

Звіт містить перелік URL-адрес розширень у Chrome Web Store та інформацію про компанії, пов’язані з їхньою розробкою.

Раніше ми публікували статтю авторитетного світового видання, в якій ішлося про те, чому потрібно негайно припинити користуватися Google Chrome.