500 estensioni dannose rimosse da Chrome

17/02/2020

Chrome malvertising

Recentemente, Google ha rimosso circa 500 estensioni di Chrome che esfiltravano dati degli utenti. Le estensioni dannose sono state individuate da uno studio condotto dalla ricercatrice di sicurezza Jamila Kaya e dalla società Duo Security utilizzando CRXcavator. 

Grazie a quest’ultimo, i ricercatori sono stati in grado di accertare che i plug-in del browser funzionavano collegando  i client del browser a un server command-and-control (C2) controllato che rendeva possibile l’esfiltrazione dei dati di navigazione all’insaputa degli utenti. Le estensioni, che funzionavano sotto forma di promozioni e servizi pubblicitari, disponevano di codice sorgente quasi identico tra loro ma differivano nei nomi delle funzioni, eludendo in tal modo i meccanismi di rilevamento del Chrome Web Store.

I ricercatori ritengono che le estensioni hanno esfiltrato dati sin da gennaio 2019 e sono stati interessati oltre 1,7 milioni di utenti.

Ultimamente, la tecnica del “malvertising”, ovvero utilizzare cookie pubblicitari e i reindirizzamenti in essi contenuti per controllare i callback ed eludere il rilevamento, è diventata un vettore di infezione sempre più comune.

Google Chrome ha implementato nuove linee guida sulla politica sulla privacy dei dati degli utenti, richiedendo a tutte le estensioni che gestiscono i dati degli utenti di disporre di una politica sulla privacy e ottenere il consenso dell’utente. Google inoltre ha implementato un programma per individuare estensioni che violano questa politica.