287 расширений Chrome тайно собирали данные миллионов пользователей
Информация передавалась крупным корпорациям и брокерам данных.
Расширения, часто маскирующиеся под полезные утилиты (блокировщики рекламы, помощники в поиске или инструменты для кастомизации), на деле выполняли функции шпионского ПО.
Для обнаружения вредоносной активности команда исследователей использовала:
- Специальную среду-ловушку с прокси-сервером для мониторинга исходящего трафика
- Симуляцию реального веб-серфинга через Docker
- Сканирование 32 000 приложений из топа Chrome Web Store
Выяснилось, что многие расширения использовали методы обфускации и шифрование (Base64 или AES-256), чтобы скрыть передачу данных. Отмечается, что цифра в 37,4 млн пострадавших — это лишь «консервативная нижняя оценка», и реальный масштаб может быть гораздо больше.
Вопреки мнению, что за подобными действиями стоят мелкие мошенники, получателями данных оказались крупные игроки рынка. Основным бенефициаром названа компания Similarweb, связанная с расширениями, охватывающими 10,1 млн пользователей.
Среди других получателей данных были замечены:
- Alibaba Group
- ByteDance
- Semrush
- Big Star Labs
При этом около 20 миллионов установок не удалось связать с конкретной компанией-получателем — данные уходили неустановленным лицам.
В отчете фигурируют расширения, которые считались вполне приличными и имеют огромную базу пользователей:
- Stylish
- Stands AdBlocker
- Poper Blocker
- CrxMouse
- Block Site
- SimilarWeb – Website Traffic & SEO Checker
Существует тревожная тенденция: популярные расширения часто продаются третьим лицам именно с целью превращения их в инструменты слежки. Зачастую это происходит в рамках «исключений из правил» магазина Chrome, что формально позволяет такой сбор данных.
Собираемая информация включает полные URL-адреса поисковых запросов Google и идентификаторы пользователей. Этой информации достаточно для де-анонимизации — привязки истории просмотров к реальной личности человека.
Залогиньтесь, чтобы писать комментарии