Chrome Web Store rimuove 34 estensioni di Chrome dannose

Google ha rimosso 34 estensioni del browser dannose dal suo Chrome Web Store che complessivamente avevano un numero di download di 87 milioni. Sebbene queste estensioni presentassero funzionalità legittime, potevano modificare i risultati di ricerca e inviare spam o annunci indesiderati.

Il mese scorso, un ricercatore indipendente di sicurezza informatica Wladimir Palant ha scoperto un’estensione del browser chiamata “PDF Toolbox” (2 milioni di download) per Google Chrome che conteneva un codice offuscato abilmente camuffato per mantenere gli utenti all’oscuro dei loro potenziali rischi.

Chrome Web Store rimuove 34 estensioni dannose con 87 milioni di download

Chrome Web Store rimuove 34 estensioni di Chrome dannose

Il ricercatore ha analizzato l’estensione PDF Toolbox e pubblicato un rapporto dettagliato il 16 maggio. Ha spiegato che il codice è stato creato per sembrare un wrapper API di estensione legittimo. Ma, sfortunatamente, questo codice ha permesso al file “serasearchtop[.]com” per inserire codice JavaScript arbitrario in ogni pagina web visualizzata da un utente.

Secondo il rapporto, i potenziali abusi includono il dirottamento dei risultati di ricerca per visualizzare link sponsorizzati e risultati a pagamento, a volte anche l’offerta di link dannosi e il furto di informazioni sensibili. Tuttavia, lo scopo del codice è rimasto sconosciuto, poiché Palant non ha rilevato alcuna attività dannosa.

Il ricercatore ha anche scoperto che il codice era impostato per attivarsi 24 ore dopo l’installazione dell’estensione, il che indica intenzioni dannose, secondo il rapporto.

In un articolo di follow-up pubblicato il 31 maggio 2023Palant ha scritto di aver trovato lo stesso codice dannoso in altre 18 estensioni di Chrome con un numero totale di download di 55 milioni sul Chrome Web Store.

Continuando la sua indagine, Palant ha trovato due varianti del codice che erano molto simili ma con piccole differenze:

  • La prima variante si maschera da Polyfill dell’API del browser WebExtension di Mozilla. L’indirizzo di download “config” è https://serasearchtop.com/cfg//polyfill.json e il timestamp alterato che impedisce i download entro le prime 24 ore è localStorage.polyfill.
  • La seconda variante si maschera da libreria Day.js. Scarica i dati da https://serasearchtop.com/cfg//locale.json e memorizza il timestamp alterato in localStorage.locale.

Tuttavia, entrambe le varianti mantengono l’esatto meccanismo di iniezione del codice JS arbitrario che coinvolge serasearchtop[.]com.

Sebbene il ricercatore non abbia osservato il codice dannoso in azione, ha notato diversi rapporti e recensioni degli utenti sul Web Store che indicavano che le estensioni stavano dirottando i risultati della ricerca e reindirizzandoli in modo casuale altrove.

Sebbene Palant abbia segnalato le sue scoperte a Google, le estensioni sono rimaste disponibili nel Chrome Web Store. Solo dopo che la società di sicurezza informatica Avast ha confermato la natura dannosa delle estensioni di Chrome, queste sono state messe offline dal gigante della ricerca.

Palant aveva elencati 34 estensioni dannose sul suo sito Web, con un numero totale di download di 87 milioni. Ad oggi, tutte queste estensioni dannose sono state rimosse da Google dal Chrome Web Store. Tuttavia, questo non li disattiva o disinstalla automaticamente dai loro browser web. Pertanto, si consiglia agli utenti di disinstallarli manualmente dai propri dispositivi.

Articoli correlati

Ultimi articoli