СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 февраля
#ИБ

Массовые утечки истории из расширений Chrome: 37,4 млн под угрозой

Автоматизированный конвейер сканирования расширений Chrome выявил масштабную проблему: 287 расширений удалённо передавали данные о посещённых пользователями страницах, что, по оценке авторов исследования, могло затронуть примерно 37,4 миллиона пользователей. Выводы основаны на массовом тестировании с использованием контейнерной среды и перехвата трафика, а также на статистическом анализе размера полезной нагрузки относительно длины URL.

Методология сканирования

Для оценки безопасности расширений была развёрнута автоматизированная система, работающая в окружении Docker под управлением Chromium. Все сетевые соединения проходили через прокси в режиме man-in-the-middle, что позволило регистрировать исходящие запросы и сопоставлять их с предопределённой длиной URL.

Ключевые элементы подхода:

  • Перехват и логирование исходящих запросов через прокси (man-in-the-middle).
  • Использование регрессионной модели для выявления потенциальной утечки на основе сравнения размеров полезной нагрузки и длины URL.
  • Классификация уровня утечки по рейтинговой шкале от 0 до 1, где значения, близкие к 1, указывают на высокую вероятность эксфильтрации данных.
  • Затраты вычислительных ресурсов: на полный процесс сканирования потребовалось около 930 процессорных дней.

Ключевые находки

В числе обнаруженных фактов — систематическая отправка данных о посещённых страницах на внешние серверы. Исследователи установили, что среди акторов, связанных с этой деятельностью, присутствуют как известные организации, так и менее изученные группы:

  • Similarweb
  • Curly Doggo
  • Offidocs
  • Неопознанная группа под названием BigStarLabs

Кроме того, в ходе анализа были обнаружены обратные ссылки на несколько IP-адресов, связанных с различными «акторами-скребками», в частности с Kontera scraper, который был задействован как в связке с Similarweb, так и с другими расширениями. Это указывает на существование взаимосвязанных инфраструктур, используемых для сбора и агрегирования данных.

Технические и организационные выводы

  • Метод сравнения размера полезной нагрузки с длиной URL показал свою применимость для массового обнаружения потенциальной утечки.
  • Большие временные и вычислительные затраты (≈930 CPU-дней) подчёркивают необходимость разработки более эффективных стратегий для анализа расширений с большим количеством пользователей.
  • Некоторые расширения запрашивали доступ к cookie, что повышает риск восстановления пользовательских сессий и потенциального захвата аккаунтов.

Последствия для пользователей и компаний

Накопленные и агрегированные истории посещений представляют ценность для игроков рекламной экосистемы, но также создают риски:

  • _Таргетированная реклама_: агрегированные данные позволяют точнее сегментировать аудиторию и нацеливать рекламные кампании.
  • _Корпоративный шпионаж_: расширения, установленные сотрудниками, могут непреднамеренно раскрывать конфиденциальную внутреннюю информацию компании.
  • _Угон сессий_: доступ к cookie даёт возможность злоумышленникам восстанавливать пользовательские сессии и получать доступ к сервисам под чужой учетной записью.

«Ранее появлялись предупреждения об аналогичных утечках данных, подтверждающие мнение о том, что веб-расширения по-прежнему представляют серьезную угрозу конфиденциальности и безопасности», — отмечают авторы исследования.

Рекомендации

Исходя из результатов, исследование подчёркивает необходимость следующих мер:

  • Постоянный мониторинг и оценка расширений браузера на предмет утечки данных и подозрительного сетевого поведения.
  • Разработка более масштабируемых и ресурсосберегающих методов автоматического анализа расширений.
  • Ограничение прав расширений и минимизация доступа к чувствительным данным (включая cookie) по принципу least privilege.
  • Повышение осведомлённости пользователей и корпоративных администраторов о рисках, связанных с установкой расширений.

Заключение

Исследование демонстрирует: несмотря на известные предупреждения и прошлые инциденты, расширения браузера остаются серьёзной угрозой приватности и безопасности. Обнаруженные 287 расширений и потенциально затронутые ~37,4 млн пользователей подчёркивают, что необходима системная и непрерывная работа по мониторингу, аудитам и совершенствованию инструментов обнаружения, чтобы защитить как частных пользователей, так и корпоративные сети от вредоносного или несанкционированного сбора данных.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: