500 Ekstensi Chrome Tertangkap Mencuri Data Pribadi 1,7 Juta Pengguna
Google menghapus 500 ekstensi Chrome berbahaya dari Web Store-nya setelah mereka menemukan untuk menyuntikkan iklan jahat dan menyedot data penelusuran pengguna ke server di bawah kendali penyerang.
Ekstensi ini adalah bagian dari kampanye periklanan dan penipuan iklan yang telah beroperasi setidaknya sejak Januari 2019, meskipun bukti menunjukkan kemungkinan bahwa aktor di balik skema tersebut telah aktif sejak 2017.
Temuan ini datang sebagai bagian dari penyelidikan bersama oleh peneliti keamanan Jamila Kaya dan Duo Security milik Cisco, yang menggali 70 Ekstensi Chrome dengan lebih dari 1,7 juta instalasi.
Setelah berbagi penemuan secara pribadi dengan Google, perusahaan kemudian mengidentifikasi 430 ekstensi browser yang lebih bermasalah, yang semuanya telah dinonaktifkan.
"Keunggulan malvertising sebagai vektor serangan akan terus meningkat selama iklan berbasis pelacakan tetap ada di mana-mana, dan terutama jika pengguna tetap terlayani oleh mekanisme perlindungan," kata Kaya dan Duo Security Jacob Rickerd dalam laporan itu.
Kampanye Periklanan yang Terselubung dengan Baik
Dengan menggunakan alat penilaian keamanan ekstensi Chrome dari Duo Security – disebut CRXcavator – para peneliti dapat memastikan bahwa plugin browser dioperasikan dengan secara sembunyi-sembunyi menghubungkan klien browser ke server command-and-control (C2) yang dikendalikan penyerang yang memungkinkan untuk melakukan exfiltrate private menelusuri data tanpa sepengetahuan pengguna.
Ekstensi, yang berfungsi dengan kedok promosi dan layanan iklan, memiliki kode sumber yang hampir sama tetapi berbeda dalam nama fungsi, sehingga menghindari mekanisme deteksi Toko Web Chrome.
Selain meminta izin luas yang memberikan plugin akses ke clipboard dan semua cookie yang disimpan secara lokal di browser, mereka secara berkala terhubung ke domain yang memiliki nama yang sama dengan plugin (misalnya, Mapstrekcom, ArcadeYumcom) untuk memeriksa instruksi tentang cara mendapatkan sendiri dihapus dari browser.
Setelah melakukan kontak awal dengan situs tersebut, plugin kemudian mengadakan kontak dengan domain C2 yang dikodekan keras – misalnya, DTSINCEcom – untuk menunggu perintah lebih lanjut, lokasi untuk mengunggah data pengguna, dan menerima daftar terbaru dari iklan berbahaya dan mengarahkan domain, yang selanjutnya mengalihkan sesi penelusuran pengguna ke campuran situs yang sah dan phishing.
"Sebagian besar dari ini adalah aliran iklan jinak, yang mengarah ke iklan seperti Macy's, Dell, atau Best Buy," lapor laporan itu. "Beberapa iklan ini dapat dianggap sah; namun, 60 hingga 70 persen dari waktu pengalihan terjadi, iklan mengalirkan referensi ke situs jahat."
Waspadai Ekstensi Peramban Yang Mencuri Data
Ini bukan pertama kalinya ekstensi pencurian data ditemukan di browser Chrome. Juli lalu, peneliti keamanan Sam Jadali dan The Washington Post menemukan kebocoran data besar-besaran yang disebut DataSpii (diucapkan data-mata-mata) yang dilakukan oleh ekstensi teduh Chrome dan Firefox diinstal pada sebanyak empat juta browser pengguna.
Pengaya ini mengumpulkan aktivitas penjelajahan – termasuk informasi yang dapat diidentifikasi secara pribadi – dan membaginya dengan pialang data pihak ketiga yang tidak disebutkan namanya yang meneruskannya ke perusahaan analitik bernama Nacho Analytics (sekarang ditutup), yang kemudian menjual data yang dikumpulkan ke langganannya. anggota dalam waktu nyata dekat.
Sebagai tanggapan, Google mulai membutuhkan ekstensi untuk hanya meminta akses ke "data paling sedikit" mulai 15 Oktober 2019, melarang ekstensi apa pun yang tidak memiliki kebijakan privasi dan mengumpulkan data tentang kebiasaan penelusuran pengguna.
Untuk saat ini, aturan kehati-hatian yang sama berlaku: tinjau izin ekstensi Anda, pertimbangkan untuk mencopot ekstensi yang jarang Anda gunakan atau beralih ke alternatif perangkat lunak lain yang tidak memerlukan akses invasif ke aktivitas browser Anda.
