Ваші дані могли викрасти: 287 розширень Chrome шпигували за 37 млн користувачів

287 розширень Chrome збирали історію переглядів мільйонів користувачів без їхньої згоди. Про це повідомляє Cyber Security News. Розповідаємо деталі.

Читайте также: Оцінка $380 млрд: Anthropic залучила $30 млрд

Що сталося

Дослідники виявили масштабну операцію зі збору даних через розширення для Google Chrome. Йдеться про 287 плагінів, які таємно передавали історію переглядів користувачів на віддалені сервери. Загалом — близько 37,4 млн людей по всьому світу.

Схему викрили за допомогою автоматизованої системи сканування: вона запускала розширення в ізольованих середовищах Docker і відстежувала їхній вихідний трафік через проксі-сервер. Один із ключових маркерів — кореляція між обсягом переданих даних і довжиною URL-адрес.

Розширення маскувалися під блокатори реклами, SEO-інструменти, сервіси продуктивності та навіть рішення для безпеки. Серед згаданих — Poper Blocker, Stylish, BlockSite, а також розширення вебаналітичної компанії Similarweb і пов’язані з нею структури на кшталт Big Star Labs. У списку також фігурують Curly Doggo, Offidocs і низка китайських компаній. Навіть Avast Online Security із мільйонами встановлень був позначений як такий, що збирає дані про перегляди.

Щоб приховати активність, плагіни використовували обфускацію — навмисне заплутування коду. Деякі застосовували прості схеми кодування на кшталт ROT47, інші — повноцінне шифрування AES-256 із використанням RSA-ключів. Дані зашифровувалися перед відправленням, що ускладнювало аналіз трафіку.

Читайте также: $1 млн за довге життя: Браян Джонсон продає доступ до «безсмертя» — як долучитись

Чому це цікаво

URL-адреси часто містять ідентифікатори користувачів, внутрішні посилання компаній, доступи до SaaS-панелей, інструменти адміністрування. Якщо співробітник встановлює розширення, воно може передавати структуру внутрішньої інфраструктури компанії.

У Chrome Web Store наразі доступно близько 240 000 розширень, тому ручна перевірка практично неможлива. Експерти радять видалити підозрілі плагіни, уважно перевіряти запити на доступ і встановлювати переважно розширення з відкритим кодом.