Un ensemble de 57 extensions Chrome avec 6 000 000 d’utilisateurs ont été découvertes avec des capacités très risquées, telles que la surveillance du comportement de navigation, l’accès aux cookies pour les domaines et potentiellement l’exécution de scripts à distance.

Ces extensions sont « masquées », ce qui signifie qu’elles n’apparaissent pas dans les recherches du Chrome Web Store, ni que les moteurs de recherche ne les indexent, et ne peuvent être installées que si l’utilisateur dispose de l’URL directe.

En règle générale, ces extensions sont des logiciels privés tels que des outils internes à l’entreprise ou des modules complémentaires encore en cours de développement. Pourtant, les acteurs de la menace pourraient les utiliser pour échapper à la détection tout en les poussant agressivement à travers des publicités et des sites malveillants.

Extensions Chrome risquées
Les extensions ont été découvertes par le chercheur John Tucker, spécialiste des annexes sécurisées, qui a découvert les 35 premières après avoir examiné ce qu’il prétend être une extension suspecte nommée « Protection contre les extensions Fire Shield ».’

L’extension est fortement obscurcie et contient des rappels vers une API pour l’envoi d’informations collectées à partir du navigateur.

Fonction de suivi dans l’extension Fire Shield

Via un domaine appelé « unknow.com » contenu dans l’extension, Tuckner a trouvé des extensions supplémentaires contenant le même domaine qui prétendent fournir des services de blocage des publicités ou de protection de la vie privée.

Trouver plus d’extensions téléphonant au même domaine externe

Cependant, tous ces éléments incluent des autorisations trop larges leur permettant d’effectuer les actions suivantes:

  • Accéder aux cookies, y compris les en-têtes sensibles (par exemple, « Autorisation »)
  • Surveiller le comportement de navigation des utilisateurs
  • Modifier les moteurs de recherche (et les résultats)
  • Injecter et exécuter des scripts distants sur les pages visitées via des iframes
  • Activez le suivi avancé à distance

Bien que Tuckner n’ait attrapé aucune extension volant des mots de passe ou des cookies des utilisateurs, les capacités excessivement risquées, le code fortement obscurci et la logique cachée étaient suffisants pour que le chercheur les qualifie de risqués et, potentiellement, de logiciels espions.

« Il existe d’autres signaux obscurcis dans d’autres fonctions indiquant qu’il existe un potentiel important de commandement et de contrôle, comme la possibilité de répertorier les principaux sites visités, d’ouvrir/fermer des onglets, d’obtenir les principaux sites visités et d’exécuter plusieurs des fonctionnalités ci-dessus de manière ad hoc », explique Tuckner.

« Beaucoup de ces fonctionnalités n’ont pas été validées, mais encore une fois, la présence de cette fonctionnalité dans 35 extensions qui prétendent faire des choses simples comme vous protéger des extensions malveillantes est assez préoccupante. »

Autorisations excessives sécurisées par les extensions

Plus tôt dans la journée, le chercheur a ajouté 22 extensions supplémentaires censées appartenir à la même opération, portant le total à 57 extensions utilisées par 6 millions de personnes. Certaines des extensions nouvellement ajoutées sont également publiques.

Tucker dit que de nombreuses extensions ont été supprimées du Chrome Web Store à la suite de son rapport de la semaine dernière, mais d’autres subsistent encore.

L’une des extensions risquées encore hébergées sur la boutique en ligne

La liste complète est disponible ici, avec ceux avec le plus grand nombre de téléchargements énumérés ci-dessous:

  1. Cuponomia-Coupon et remise en argent (700 000 utilisateurs, public)
  2. Protection d’extension de bouclier coupe-feu (300 000 utilisateurs, non répertoriés)
  3. Sécurité totale pour Chrome™ (300 000 utilisateurs, non répertoriés)
  4. Protecteur pour Chrome™ (200 000 utilisateurs, non répertoriés)
  5. Chien de garde du navigateur pour Chrome (200 000 utilisateurs, public)
  6. Sécurité pour Chrome™ (200 000 utilisateurs, non répertoriés)
  7. Vérification du navigateur pour Chrome par un médecin (200 000 utilisateurs, public)
  8. Choisissez vos outils Chrome (200 000 utilisateurs, non répertoriés)

Si vous avez installé l’un des éléments ci-dessus, il est recommandé de les supprimer immédiatement et, par prudence, d’effectuer des réinitialisations de mot de passe sur les comptes en ligne.

Google a déclaré à Breachtrace qu’ils étaient au courant du rapport de Tucker et enquêtaient sur les extensions.

Breachtrace a également contacté le développeur de ces extensions avec des questions sur le code obscurci, mais n’a pas reçu de réponse pour le moment.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *