A Secure Annex böngészőbiztonsági vállalat alapítója, John Tucker egy ügyfél segítése közben bukkant a nyugtalanító felfedezésre. A szakember eredetileg 132 bővítményt vizsgált át, amelyek közül kettő nem szerepelt nyilvánosan a Chrome Web Store-ban, kizárólag közvetlen hivatkozással voltak elérhetőek. Ez a gyakorlat önmagában nem szokatlan, hiszen számos vállalat alkalmazza ezt a módszert belső eszközeinek védelmére, ugyanakkor a további vizsgálatok során nyugtalanító összefüggések kerültek napvilágra.

A kezdeti gyanús jeleket követően Tucker mélyreható elemzésbe kezdett, melynek eredményeként további 33 kérdéses bővítményt tárt fel. Ezek mindegyike azonos szerverekhez kapcsolódott, hasonló kódmintákat használt, valamint megegyező jogosultságokat kért a felhasználóktól. A bővítmények között találhatók keresési asszisztensek, hirdetésblokkolók, valamint ironikus módon olyan biztonsági eszközök is, amelyek állítólag más gyanús bővítményeket hivatottak felderíteni.

Aggasztó jogosultságok és rejtett kódok

A bővítmények működésük során rendkívül széles körű hozzáférést igényelnek, beleértve a böngészőfülek, ablakok, sütik, tárhely, parancsfájlok, riasztások és kezelési API-k elérését. „Ezek az információk önmagukban elegendőek ahhoz, hogy bármely szervezet indokoltnak lássa ezen alkalmazások eltávolítását a környezetéből a szükségtelen kockázatok miatt” – nyilatkozta Tucker a múlt csütörtökön megjelent blogbejegyzésében. 

A szakértő az Ars Technicának küldött emailjében kiemelte, hogy valójában a 35 alkalmazás egyikének sem lenne szüksége többre az alapvető kezelési jogosultságoknál. További aggodalomra ad okot, hogy a bővítmények kódja erősen „tömör”, ami jellemzően arra utal, hogy a fejlesztők szándékosan próbálják megnehezíteni a program működésének átláthatóságát.

Meglepő módon a nem listázott bővítmények jelentős népszerűségre tettek szert, annak ellenére is, hogy a keresésekben nem jelennek meg. Tucker megfigyelése szerint tíz alkalmazás rendelkezett a Google „Kiemelt” jelzésével, ami általában a megbízhatónak ítélt fejlesztők elismerése. A szakértő ugyanakkor nem részletezte, hogy ez miként befolyásolhatta a bővítmények terjedését.

Gyanús hálózati kapcsolatok

Különös figyelmet érdemel az úgynevezett Fire Shield Extension Protection nevű eszköz, amely állítólag a Chrome rosszindulatú bővítményeinek felderítésére szolgál. Tucker elemzése során olyan JavaScript fájlra bukkant, amely képes adatokat feltölteni és utasításokat letölteni több kétes domainről, köztük az unknow.com címről.

Ez utóbbi domain azért is figyelemreméltó, mert mind a 35 alkalmazás háttérszolgáltatása hivatkozik rá, miközben a webhelynek nincs látható jelenléte vagy egyértelmű funkciója. „Meglehetősen ironikus, hogy bár a domain a kódban nem játszik szerepet, mégis rendkívül hasznos kapocs az összes bővítmény összekapcsolásához” – jegyezte meg Tucker.

A Secure Annex részletes listát tett közzé a blogján és egy nyilvánosan elérhető táblázatban az érintett bővítmények azonosítóiról. A szakértők azt javasolják, hogy aki rendelkezik ezekkel a bővítményekkel, haladéktalanul távolítsa el őket, mivel a biztonsági kockázatok messze meghaladják az esetleges előnyöket.