Sommige Chrome-extensies doen stoute dingen
Een onderzoek van 48.000 Chromes-extensies door veiligheidsspecialisten toont aan dat heel wat daarvan ingezet worden voor fraude en datadiefstal, zonder dat de gebruikers iets in de gaten hebben.
De studie, die morgen wordt gepresenteerd op het Usenix Security Symposium in San Diego, voorspelt dat cybercriminelen almaar vaker van browserextensies zullen gebruikmaken om data te bemachtigen.
[related_article id=”161920″]
De onderzoekers vonden 130 extensies die ronduit gevaarlijk zijn en bijna 5.000 die het stempel “verdacht” krijgen opgeplakt. Sommigen daarvan zijn al miljoenen keren gedownload. Ze worden ingezet voor onder meer reclamefraude, spam en het misbruiken van informatie op sociale netwerken.
Eén extensie, speciaal gericht op Chinese gebruikers, stuurt alle pagina’s die een gebruiker bezoekt door naar een onbekende server. Deze software is al meer dan 5,5 miljoen keer geïnstalleerd. Alle doorgestuurde informatie is bovendien niet beveiligd met SSL.
Fraude en diefstal
Ook zogenaamde affiliate fraud werd gevonden. Bedrijven als Amazon betalen webmasters een klein bedrag wanneer iemand op een link in hun site klikt en zo een aankoop doet. Die aankoop wordt door een bepaalde code in de URL getraceerd. Door zelf zo’n code in te brengen, wordt er onrechtmatig geld uitbetaald.
Er werden maar heel weinig extensies gevonden die zich op online bankieren richten of die toetsenbordaanslagen registreren. Volgens de onderzoekers zou het echter kunnen dat verdere analyse toch dit soort praktijken aan het licht brengt.
Bij het installeren van de extensies is meestal niks verdachts te zien. Het is pas wanneer je een specifieke website bezoekt dat ze in actie schieten. De onderzoekers ontwikkelden een eigen detectiesysteem (Hulk genaamd) dat in de gaten houdt hoe extensies zich gedragen op bepaalde sites. Een deel daarvan waren zogenaamde Honeypages, speciaal ontwikkelde webpagina’s om risicovol gedrag uit te lokken.
Permissies gaan te ver
Omdat extensies extra functionaliteit aan je browser geven, moeten ze permissies krijgen van de API’s van Chrome (application programming interfaces). Ze kunnen bijvoorbeeld webaanvragen van de browser onderscheppen, verkeer omleiden en Javascript in webpagina’s plaatsen.
Precies daar wringt het schoentje, menen de onderzoekers. Dit soort permissies gaan veel te ver en gebruikers zouden veel waakzamer moeten zijn over welke extensie wat precies mag doen.
Strengere controle
De onderzoekers werkten voor deze studie nauw samen met Google. Vooraleer ze in de Chrome Web Store belanden, onderzoekt Google de extensies wel, maar toch glippen er regelmatig kwaadaardige extensies door de mazen van het net. Google heeft nu aangekondigd dat het zijn controlepolitiek zal verstrengen. Zo zal het moeilijker worden om extensies van buiten de Web Store te installeren, een praktijk die als side loading bekendstaat.