Google verwijdert 32 Chrome-extensies vanwege malware
Met Chrome-extensies is het mogelijk om je internetervaring een flinke boost te geven: allerlei handigheden om bijvoorbeeld reclame op YouTube mee over te slaan, om je plakbord te beheren of het geluid van Chrome wat luider te zetten dan het systeem toelaat. Die functies zitten verwerkt in de 32 extensies die Google nu offline haalt omdat er malware in zit.
Aan de oppervlakte lijken de extensies allemaal te doen waarvoor ze gemaakt zijn. Cybersecurity-onderzoeker Wladimir Palant ontdekte echter code in de ‘PDF Toolbox’-extensie waarin verdachte code stond. Die kon verborgen blijven omdat de code eruitzag als een reguliere ‘API call’. Zulke API-calls worden gebruikt om informatie of diensten van een server te krijgen. Gek genoeg werd de informatie die API call moest verzamelen nergens meer gebruikt in de code. Reden genoeg voor Palant om op onderzoek uit te gaan.
De ontdekking van de code in PDF Toolbox bracht een bal aan het rollen: al snel ontdekte de onderzoeker nog achttien extensies waarin dezelfde code-snippet verwerkt zat. Wat later ontdekt ook Avast dat er iets niet helemaal snor zit met de extensies. Het cybersecuritybedrijf meldde dat, net zoals Palant, aan Google. Pas na de melding van Avast werden de Chrome-extensies met malware in offline gehaald.
Om welke extensies gaat het?
Het gaat in totaal om 32 extensies die offline werden gehaald. Wladimir Palant lijst er op zijn website echter 34 op, met in totaal 87 miljoen gebruikers. Het zou goed kunnen dat het gebruikersaantal in werkelijkheid lager ligt: wie malware verspreidt via extensies wil doorgaans dat ze er zo betrouwbaar mogelijk uitzien en een hoog gebruikersaantal helpt daarbij.
De twintig meest gedownloade extensies zijn:
- Autoskip for Youtube
- Soundboost
- Crystal Ad block
- Brisk VPN
- Clipboard Helper
- Maxi Refresher
- Quick Translation
- Easyview Reader view
- PDF toolbox
- Epsilon ad blocker
- Craft Cursors
- Alfablocker ad blocker
- Zoom Plus
- Base Image Downloader
- Clickish fun cursors
- Cursor A custom cursor
- Amazin Dark Mode
- Maximum Color Changer for YouTube
- Awesome Auto Refresh
- Venus Adblock
Wat zijn de gevolgen?
Stuk voor stuk zijn het extensies die wel degelijk nuttig kunnen zijn, moesten ze geen malware met zich meedragen. Maar wat voor schade kan zo’n extensie precies aanrichten?
Wanneer je een webpagina bezoekt, kan een extensie daar JavaScript-code injecteren. Zo kan aan “search hijacking” gedaan worden. De extensie kaapt als het ware je zoekopdracht en helpt hackers geld te verdien door je allerlei advertenties voor te schotelen, je langs links sturen waar ze geld mee verdienen en door je persoonlijke informatie door te sluizen.
Oplossing
De makkelijkste manier om je browser te herstellen is door hem helemaal te resetten. Je zal je extensies dan wel even opnieuw moeten downloaden en installeren. Heel wat werk, maar je bent er wel meteen zeker van dat er niemand meer met je meekijkt.
Je kan Google Chrome resetten door rechtsboven in het venster op de drie puntjes te klikken en naar de instellingen te navigeren. Daarna zoek je in de zijbalk naar “instellingen resetten”. Na een paar keer klikken is je browser dan opnieuw ingesteld.