Chrome

Rozszerzenia w Chrome to ogromne ryzyko. Oto dlaczego

Jakub Szczęsny
Rozszerzenia w Chrome to ogromne ryzyko. Oto dlaczego
6

Wtyczki dla Google Chrome to z reguły przydatne narzędzia zamieniające przeglądarkę w spójne środowisko pracy - pozwalające nie tylko na szybkie przenoszenie się do popularnych usług, ale także na powiększenie wachlarza funkcji dostępnych pod ręką. Tyle, że w obecnej sytuacji to także ryzyko, o którym mówi się niestety za mało - przy okazji zachęcając użytkowników do instalacji wielu z nich.

W Chrome Web Store od pewnego czasu panuje skądinąd niebezpieczny trend - wtyczki dla przeglądarki jednocześnie mogą być i przydatnymi narzędziami i... złośliwymi programami. I nie dotyczy to wcale tylko podejrzanych deweloperów umieszczających w tym repozytorium swoje "propozycje", ale również zaufanych wydawców, których mini-programy są przejmowane przez cyberprzestępców lub zwyczajnie sprzedają swoje produkty, a ich nabywcy doposażają wtyczki w złośliwe mechanizmy. Warto mieć to na uwadze i zwyczajnie być ostrożnym: w żadnym wypadku nie chcemy Was zniechęcić do wtyczek, próbujemy raczej zwrócić Waszą uwagę na niekorzystne dla nas wszystkich zjawiska.

Czy jest wtyczka dla Google Chrome?

Wtyczka dla Google Chrome jest małym programem działającym w obrębie przeglądarki, którego celem jest rozszerzenie funkcjonalności wiodącej platformy. Buduje się je w oparciu o technologie webowe - takie jak HTML, JavaScript oraz CSS. Google zastrzega, że każde narzędzie publikowane w Chrome Web Store, repozytorium dla tego typu rozszerzeń musi mieć określony cel definiujący jednocześnie korzyści dla użytkownika. Owszem, mogą to być bardziej rozbudowane programy, aczkolwiek powinny być na tyle minimalistyczne, by nie wpływały na podstawowy interfejs przeglądarki. Wszystkie paczki instalacyjne dla Google Chrome są spakowane w pliku .crx, a podstawowym miejscem, z którego można je pobrać to wspomniany już wyżej Chrome Web Store.

Czy Chrome Web Store i rozszerzenia są bezpieczne?

Google w zasadzie stawia sam siebie w roli gwaranta jakości oraz bezpieczeństwa wtyczek dla swojego produktu. Deweloperzy są obkładani ograniczeniami dotyczącymi tych małych programów, a także obowiązuje ich zbiór zasad, w których można wyczytać m. in. "ogólny zakaz publikowania złośliwych wtyczek". Nie jest więc mile widziane publikowanie takich narzędzi, które przechwytują jakiekolwiek dane bez wiedzy i zgody użytkownika, które następnie są wykorzystywane w niekorzystny dla niego sposób. To oczywiście ogólniki, które w szczególnych sytuacjach mogą nie mieć żadnej mocy.

Google po opublikowaniu rozszerzenia Chrome Web Store sprawdza je pod kątem potencjalnie złośliwych mechanizmów. Wiele wskazuje jednak na to, że właściwie nie każdy tego typu program przechodzi taką procedurę, albo są one "za słabe" w stosunku do pomysłowości cyberprzestępców. Stąd też mamy takie "kwiatki" jak niebezpieczne rozszerzenia w oficjalnym repozytorium, o których dowiadujemy się najczęściej z raportów firm zajmujących się cyberbezpieczeństwem. Wtedy okazuje się, że dobrze znana i szeroko wykorzystywana wtyczka jest nośnikiem malware'u, a ponadto jest w stanie wykradać dane użytkownika. Zazwyczaj, po takiej wiadomości Google reflektuje się i zdejmuje program z bazy, ale mleko się już rozlało, prawda?

Nie jest to potwierdzona informacja, ale nieco "luźniejsze" są procedury sprawdzające programy w przypadku aktualizacji oraz deweloperów uznawanych przez Google jako "zaufanych". To zaś rodzi zasadniczo dwa niebezpieczne scenariusze. W przypadku dodatku do Chrome "MEGA" doszło do przejęcia wtyczki przez cyberprzestępców. Ci, podając się rzecz jasna za firmę MEGA (należącą do Kima Dotcoma) wydali aktualizację, która doposażała rozszerzenie w mechanizmy pozwalające na wykradanie danych użytkowników. Incydent zauważono dopiero po kilku dniach od wydania niebezpiecznego uaktualnienia i tym samym na straty narażono ponad 1,6 miliona użytkowników przeglądarki Chrome.

Zdecydowanie niebezpieczne są jednak sytuacje, w których deweloper sprzedaje swój produkt, wraz z rozszerzeniami dla popularnych przeglądarek. Nowy właściciel może mieć zupełnie inny pomysł na taki dodatek i również wdrożyć do niego potencjalnie złośliwe mechanizmy. Takie "afery" również można było zaobserwować na rynku.

Może być również tak, że deweloper podszywa się pod innego, zaufanego dostawcę i jednocześnie doskonale ukrywa niebezpieczne mechanizmy w swojej propozycji - wtedy nie dość, że może mu się udać ominąć procedury Google, to w dodatku będzie w stanie oszukać użytkowników poszukujących popularnych dodatków. Tak było m. in. z rozszerzeniem AdBlock Plus, które "udawało" doskonale znany i szeroko wykorzystywany program blokujący intruzywne reklamy.

Co możesz zrobić, aby nie wpaść w pułapkę?

Poleganie głównie na rozszerzeniach dla Google Chrome jest... ryzykowne - szczególnie w obecnej sytuacji. To niezwykle popularny wektor zarażeń i z pewnością będzie on szeroko eksploatowany w przyszłości. Skoro Google nie radzi sobie z tego typu sytuacjami, cyberprzestępcom takie procedery będą się opłacać: za ich pomocą są w stanie wykradać dane, kryptowaluty, informacje o kontach bankowych - ich "zarobek" wprost zależy od tego, jak wiele cennych danych uda im się zgromadzić, a następnie je wykorzystać. Sposobów jest mnóstwo: od bieżącej eksploatacji pozyskanych kombinacji login / hasło aż po sprzedaż uzyskanych informacji w darkwebowych marketach.

Instalując jakąkolwiek wtyczkę dla Google Chrome warto przenieść się do sekcji z opisowymi recenzjami, gdzie użytkownicy zazwyczaj bardzo chętnie dzielą się swoimi spostrzeżeniami. Jeżeli coś jest nie tak z konkretnym dodatkiem, najpewniej bardzo szybko się o tym dowiecie właśnie z tych opinii. Jeżeli macie jakiekolwiek wątpliwości dotyczące konkretnego rozszerzenia - nie decydujecie się na instalację - proste.

Warto także rewidować stan wtyczek, które już mamy zainstalowane - zwłaszcza ze względu na możliwość pojawiania się w Chrome Web Store ich złośliwych wersji. Jak wykazaliśmy wyżej - wystarczy, że zmieni się właściciel programu i będzie mieć nieco inne podejście do kwestii prywatności użytkowników i... nieszczęście gotowe.

Co mówią na ten temat firmy zajmujące się cyberbezpieczeństwem?

Jeden z większych raportów w tym roku pojawił się już w styczniu: ICEBERG zgromadził informacje o naprawdę wielu potencjalnie niebezpiecznych rozszerzeniach z tego repozytorium oraz przedstawił mechanizmy działania niektórych z nich. Odkryto ponadto, że wiele z nich należy do jednej, większej grupy hakerów i realizuje przeróżne założone sobie przez nich cele. Ponadto, wykazano możliwe scenariusze działania takich wtyczek:

  • Przekierowywanie ruchu przez podstawione przez cyberprzestępców serwery celem "podsłuchiwania" użytkowników
  • Modyfikacja docelowych stron internetowych - np. podmiana adresu URL m. in. webowych aplikacji bankowych celem pozyskania informacji o kombinacjach: login / hasło
  • Wyświetlanie złośliwych reklam - dzięki czemu cyberprzestępcy zarabiają na ich dystrybucji
  • Wykradanie danych użytkowników w trakcie przeglądania przez nich sieci
  • Skłanianie do instalacji innych niebezpiecznych programów poprzez popupy, podstawione niebezpieczne reklamy
  • Przejmowanie zasobów komputera celem m. in. wykopywania kryptowalut za pomocą zdalnych skryptów

Sposobów jest mnóstwo i niestety, ale Chrome Web Store stwarza ogromne możliwości cyberprzestępcom, o ile są oni dobrze wytrenowani po pierwsze, w omijaniu zabezpieczeń tego repozytorium i po drugie - w technikach dokonywania skutecznych ataków. To od użytkownika zależy, czy da się złapać w pułapkę, czy też nie - warto więc stosować się do całkiem prostych zasad bezpiecznego korzystania z wtyczek.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu