Google a supprimé du Chrome Web Store 32 extensions malveillantes susceptibles d’altérer les résultats de recherche et de diffuser des spams ou des publicités indésirables. Collectivement, ils viennent avec un nombre de téléchargements de 75 millions.
Les extensions comportaient des fonctionnalités légitimes pour garder les utilisateurs inconscients du comportement malveillant qui est venu dans le code obscurci pour livrer les charges utiles.
Le chercheur en cybersécurité Wladimir Palant a analysé l’extension PDF Toolbox (2 millions de téléchargements) disponible sur Chrome Web Store et a découvert qu’elle incluait du code déguisé en wrapper d’API d’extension légitime.
Dans un article publié à la mi-mai, le chercheur explique que le code permettait au domaine « serasearchtop[.]com » d’injecter du code JavaScript arbitraire dans n’importe quel site Web visité par l’utilisateur.
Le potentiel d’abus va de l’insertion de publicités dans des pages Web au vol d’informations sensibles. Cependant, Palant n’a observé aucune activité malveillante, de sorte que l’objectif du code est resté flou.
Le chercheur a également remarqué que le code était configuré pour s’activer 24 heures après l’installation de l’extension, un comportement généralement associé à des intentions malveillantes.
Il y a quelques jours, Palant a publié un article de suivi sur l’affaire pour alerter qu’il avait découvert le même code suspect dans 18 autres extensions Chrome avec un nombre total de téléchargements de 55 millions. Voici quelques exemples :
- Autoskip pour Youtube – 9 millions d’utilisateurs actifs
- Soundboost – 6,9 millions d’utilisateurs actifs
- Bloc Crystal Ad – 6,8 millions d’utilisateurs actifs
- VPN dynamique – 5,6 millions d’utilisateurs actifs
- Clipboard Helper – 3,5 millions d’utilisateurs actifs
- Maxi Refresher – 3,5 millions d’utilisateurs actifs
Au moment où Palant a publié le deuxième article, toutes les extensions étaient toujours disponibles dans le Chrome Web Store.
Poursuivant son enquête, Palant a trouvé deux variantes du code : une se faisant passer pour l’API Polyfill du navigateur WebExtension de Mozilla, et une autre se faisant passer pour la bibliothèque Day.js.
Cependant, les deux versions présentaient le même mécanisme d’injection de code JS arbitraire impliquant serasearchtop[.]com.
Bien que le chercheur n’ait observé aucune activité malveillante claire, il a noté qu’il existe de nombreux rapports et critiques d’utilisateurs sur le Web Store indiquant que les extensions effectuaient des redirections et le piratage des résultats de recherche.
Malgré ses tentatives de signaler les extensions suspectes à Google, elles sont restées disponibles pour les utilisateurs du Chrom Web Store.
Plus tôt dans la journée, cependant, la société de cybersécurité Avast a déclaré avoir signalé les extensions à Google après avoir confirmé leur nature malveillante et étendu la liste à 32 entrées. Collectivement, ceux-ci ont enregistré 75 millions d’installations.
Avast dit que bien que les extensions semblent inoffensives pour les utilisateurs sans méfiance, ce sont des logiciels publicitaires qui détournent les résultats de recherche pour afficher des liens sponsorisés et des résultats payants, servant parfois même des liens malveillants.
Répondant à une demande de commentaire de Breachtrace avant qu’Avast ne publie ses conclusions, un porte-parole de Google a déclaré que « les extensions signalées ont été supprimées du Chrome Web Store ».
« Nous prenons au sérieux les revendications de sécurité et de confidentialité contre les extensions, et lorsque nous trouvons des extensions qui violent nos politiques, nous prenons les mesures appropriées. »
« Le Chrome Web Store a mis en place des politiques pour assurer la sécurité des utilisateurs que tous les développeurs doivent respecter », a déclaré le représentant de Google à Breachtrace .
Avast souligne l’impact significatif des extensions, qui ciblaient des dizaines de milliers de ses clients, et potentiellement des millions dans le monde.
Pour ses clients, Avast a neutralisé de manière sélective uniquement les éléments malveillants au sein des extensions, laissant les fonctionnalités légitimes continuer à fonctionner sans interruption.
Alors que les 75 millions de téléchargements semblent inquiétants, la société soupçonne que le nombre a été « artificiellement gonflé ». Une liste complète des extensions malveillantes (ID) peut être trouvée dans le rapport d’Avast.
Les utilisateurs doivent noter que la suppression des extensions du Chrome Web Store ne les désactive pas ou ne les désinstalle pas automatiquement de leurs navigateurs, une action manuelle est donc nécessaire pour éliminer le risque.