130 tys. osób padło ofiarą złośliwych rozszerzeń z „bezpiecznego” sklepu Chrome

Instalowanie rozszerzeń z Chrome Web Store miało dawaćużytkownikom gwarancję, że nic im się złego nie stanie. Wierzącw to, Google zablokowałodwa lata temu w swojej przeglądarce możliwość instalowania ich zinnych źródeł. Nieraz już jednak słyszeliśmy o uzłośliwionychrozszerzeniach,które do sklepu trafiały, czyniąc szkody tym, którzy radośniekliknęli niebieski przycisk Dodaj do Chrome. Coraz bardziejoczywiste jest to, że rozszerzeń nikt przed dodaniem do sklepu niekontroluje, a zagrożenia usuwane są dopiero wtedy, gdy już swojezrobią. Dowodem na ten stan rzeczy jest choćby historia MaximeKjaer, studenta informatyki z Danii, który odkrył cały zestawzłośliwych rozszerzeń Chrome, przeznaczonych głównie dowykradania kont na Facebooku.

Do odkrycia złośliwych rozszerzeń doszło przypadkiem –Maxime Kjaer zauważył, że jeden z jego znajomych regularnieudostępnia na Facebooku dość dziwne, erotycznie nacechowane linki,coś w stylu „jak dobrze całować”. Treść była raczejprymitywna, linki takie miały około 900 polubień, żadnychkomentarzy, a emitująca je strona sama miała może 30 polubień. Co ciekawe, strona ta publikowała ten sam wpis po kilkanaście razy.

Duńczyk w końcu zdecydował się kliknąć w jeden z linków. Ten poprowadził do strony zawierającej komunikat o tym, że treść przeznaczona jest „tylko dla dorosłych” i aby przejść dalej, należy zweryfikować wiek. Jak to zrobić? No cóż, instalując rozszerzenie Chrome o nazwie Viral Content Age Verify. Biorąc pod uwagę takie czynniki jak poziom zainteresowania przeciętnego internauty erotycznymi treściami, wiara w to, że dostęp do erotycznych treści powinien być ograniczony do osób dorosłych, oraz zaufanie przeciętnego internauty do oficjalnego katalogu rozszerzeń – można sądzić, że tego typu metoda zachęcenia do instalacji rozszerzenia okazała się skuteczna w niejednym przypadku.

I faktycznie, tych przypadków było sporo. Wydawca, który weryfikacyjne rozszerzenie umieścił w Chrome Web Store, był też dostawcą ośmiu innych rozszerzeń, o nazwach takich jak Content Age Verify, Restricted Content Verificiation czy Age Bypass for YouTube. Łącznie korzystało z nich ponad 130 tysięcy osób. Jeśli jednak bardziej poszperać w Chrome Web Store, okazuje się, że w sklepie znalazły się też rozszerzenia innych wydawców, o niemal identycznych nazwach, rozmiarach i zastosowaniach – więc realna skala tej operacji mogła być znacznie większa.

Duński student pobrał rozszerzenie, by wziąć je bliżej pod lupę. Już pierwszy rzut oka w manifest pokazał, że chce ono mieć pełen dostęp do praktycznie wszystkich danych ze wszystkich witryn. Do tego uruchamia sobie w tle jednocześnie trzy skrypty. Pierwszy banalny – otwiera wyskakujące okienko, w którym internauta ma podać datę urodzin, a następnie kliknąć przycisk Verify. Weryfikacja jest jednak tylko makietą, cokolwiek się jednak nie wpisze, zwróci napis „Loading...” a potem „Done”.

Drugi skrypt to nic ciekawego, służył do parsowania ciągów zmiennych w adresach URL, ale trzeci skrypt nawet nie próbował ukryć, tego co robi – pobierania złośliwego ładunku z zewnętrznego serwera, którego adres został wpisany na stałe. Malware zostaje pobrane, zapisane w pamięci podręcznej przeglądarki i uruchomione. Możliwości są całkiem typowe – komunikacja z serwerem dowodzenia i kontroli, wykradanie tokenów logowania do serwisów internetowych, lubienie stron na Facebooku, subskrybowanie kanałów YouTube i wyczekiwanie na nowe wersje skryptu. Można więc powiedzieć, że to uniwersalny szkodnik, wypełniający wszystkie rozkazy swojego botmastera.

Kjaer nie czekał na reakcje Google. Po zgłoszeniu rozszerzeń sam znalazł sposób na likwidację botnetu. Ten nie był przecież dobrze zabezpieczony – wystarczyło zlikwidować serwery dowodzenia i kontroli, działające pod wskazanymi w skrypcie adresami IP, by uczynić te wszystkie złośliwe rozszerzenia nieszkodliwymi. A że serwery były hostowane w szybko reagującej w takich sprawach firmie DigitalOcean, nie minęło wiele czasu do ich wyłączenia.

Młody badacz zaproponował też zmiany, które wszechmocne Google mogłoby wprowadzić w sklepie z rozszerzeniami dla swojej przeglądarki: po pierwsze ręczną weryfikację rozszerzeń, a jeśli to niemożliwe, przynajmniej weryfikowanie reputacji wydawców. Po drugie, wyróżnienie rozszerzeń opensource’owych, pochodzących z wiarygodnych źródeł (np. mających swoje repozytoria na GitHubie).

Obecnie bowiem sytuacja jest tragiczna – z jednej strony Google obiecuje warte dziesiątki tysiący dolarów nagrody za znalezienie luk w samej przeglądarce, z drugiej dopuszcza rozszerzenia, które te wszystkie zabezpieczenia po prostu obchodzą społeczną inżynierią. W tym wypadku ofiarami padło ponad 130 tysięcy osób. Ile jeszcze takich złośliwych rozszerzeń w Chrome Web Store pozostało? Ile jeszcze się pojawi?