I ricercatori hanno scoperto quattro estensioni pericolose con oltre 500.000 download che erano scaricabili dal Google Chrome Web Store. Questa scoperta evidenzia una debolezza importante in quello che è considerato il browser più sicuro di Internet. Google ha rimosso prontamente le estensioni.
I ricercatori della società di sicurezza ICEBRG si sono imbattuti nel ritrovamento dopo aver rilevato un picco sospetto nel traffico di rete in uscita. Ben presto hanno scoperto che era stato generato da un'estensione di Chrome chiamata HTTP Request Header poiché utilizzava il computer infetto per visitare senza consensi siti web pieno di pubblicità.
Successivamente, i ricercatori hanno scoperto altre tre estensioni di Chrome, Nyoogle, Stickies e Lite Bookmarks, che svolgevano la medesima funzione. ICEBRG sospetta che le estensioni siano state parte di una truffa sui clic fraudolenti che ha generato guadagni per clic. Ma i ricercatori hanno avvertito che le estensioni malevoli potrebbero essere state usate per spiare le persone che le hanno installate.
Come funzionano le estensioni dannose di Google Chrome
Google ha rimosso le estensioni dal Chrome Web Store dopo che ICEBRG ha segnalato i suoi risultati privatamente. La società di sicurezza ha anche allertato il National Cyber Security Center dei Paesi Bassi e il CERT statunitense. Nel suo report pubblico, ICEBRG ha continuato a spiegare come funzionavano le estensioni dannose.
In base alla progettazione dell'estensione, JavaScript esegue il codice contenuto in JSON. A causa di problemi di sicurezza, Chrome impedisce la possibilità di recuperare JSON da una fonte esterna tramite estensioni, che devono richiederne esplicitamente l'uso tramite il Content Security Policy (CSP). Quando un'estensione è abilitata per eseguire tali azioni, può recuperare ed elaborare JSON da un server controllato esternamente.
Ciò crea uno scenario in cui l'autore dell'estensione può inserire ed eseguire un codice arbitrario di JavaScript ogni volta che il server di aggiornamento riceve una richiesta.
Questa non è la prima volta che le estensioni di Chrome abusano dei permessi ottenuti. Alla fine del mese luglio, gli hacker Anonymous hanno compromesso gli account di almeno due sviluppatori di estensioni di Chrome. I criminali hanno quindi utilizzato il loro accesso non autorizzato per installare automaticamente gli aggiornamenti delle estensioni che inserivano gli annunci nei siti visitati dagli utenti.