Zajmująca się bezpieczeństwem w sieci firma Awake Security przygotowała raport, z którego wynika, że 111 rozszerzeń do popularnej przeglądarki Google Chrome było wykorzystywanych do szpiegowania użytkowników. Rozszerzenia mogły wykonywać zrzuty ekranu, kraść dane logowania i przechwytywać hasła podczas ich wpisywania.

Awake podaje, że większość z rozszerzeń, które szpiegowały użytkowników miało rzekomo służyć do ewentualnego ostrzegania przed niebezpiecznymi witrynami bądź do konwersji formatu plików. Do tej pory firma odnotowała co najmniej 32 962 951 pobrań złośliwych rozszerzeń i to tylko wśród rozszerzeń, które były dostępne w Chrome Web Store od maja 2020 r.

Trop wiedzie do Izraela

Awake Security podkreśla, że szpiegujące użytkowników rozszerzenia przekierowywały do domen zarejestrowanych za pośrednictwem Galcomm – izraelskiej firmy hostingowej. „Z 26 079 dostępnych domen zarejestrowanych za pośrednictwem GalComm, 15 160 domen, czyli prawie 60%, jest złośliwych lub podejrzanych” – czytamy w raporcie. „Wykorzystując zaufanie pokładane w niej, jako w rejestratorze domen, Galcomm umożliwił złośliwą aktywność, która została wykryta w ponad stu przebadanych przez nas sieciach” – dodano.

W mailowym oświadczeniu dla agencji Reutera właściciel Galcomm Mosze Fogel zapewniał, że jego firma nie zrobiła nic złego. – Galcomm nie jest zaangażowany i nie bierze udziału w żadnej złośliwej działalności – stwierdził Fogel. – Wprost przeciwnie: współpracujemy z organami ścigania i odpowiednimi służbami, aby zapobiegać temu w jak największym stopniu – dodał.

Fogel zapowiedział, że większość domen o których mowa w raporcie jest już nieaktywna i będzie badał pozostałe.

Google kasuje fałszywe rozszerzenia

Jak informuje Reuters, firma Google Alphabet poinformowała, że ​​usunęła po otrzymaniu informacji o niebezpiecznych rozszerzeniach, zostały one usunięte ze sklepu Chrome Web Store. Dodatkowo firma dezaktywowała wszystkie te rozszerzenia u użytkowników, którzy zdążyli je zainstalować, a także oznaczyła jako malware.

– Gdy jesteśmy powiadamiani o rozszerzeniach w sklepie internetowym, które naruszają nasze zasady, podejmujemy działania i wykorzystujemy te incydenty jako materiał szkoleniowy w celu ulepszenia naszych automatycznych i ręcznych analiz – powiedział Reuterowi rzecznik Google – Regularnie przeprowadzamy przeglądy w celu znalezienia podejrzanych rozszerzeń przy użyciu podobnych technik, kodu i zachowań, a także usuwamy je, jeśli naruszają nasze zasady – zapewnił Scott Westover.

Firma Awake opublikowała też pod tym linkiem pełną listę numerów ID w Chrome Web Store przypisanych do złośliwych rozszerzeń.

