Пользователи браузера Google Chrome оказались под угрозой из-за уязвимостей, выявленных ИБ-экспертами за последние два дня, сообщает портал Ars Technica.
Прежде всего, речь идет о популярном расширении Great Suspender, которое насчитывает 2 млн установок в Chrome Web Store. Этот плагин позволяет временно выключать неиспользуемые вкладки, чтобы ускорить работу браузера, а потому был незаменим для пользователей устройств с маленьким запасом оперативной памяти.
Как оказалось, в расширение проникло вредоносное программное обеспечение — так говорится в сообщении Google.
При этом компания отказалась пояснять, что именно случилось с Great Suspender, но теперь его не найти ни в официальном магазине плагинов, ни на компьютерах пользователей, которые ранее его оттуда скачали.
По данным Ars Technica, ссылающегося на тред в GitHub, в июне прошлого года расширение было продано новому владельцу, после чего начало демонстрировать признаки зловредного программного обеспечения. В частности, сообщалось о вредоносном коде, который устанавливал слежку за деятельностью пользователя онлайн, в том числе и за его поисковыми запросами.
Когда кто-то покупает бесплатное расширение с открытым исходным кодом, которое ранее не приносило разработчикам дохода, это вызывает недоумение у индустрии безопасности, рассказал ИБ-евангелист компании Avast Луис Корронс.
«Часто такие бесплатные расширения затем монетизируются — новые владельцы вносят вредоносные изменения, такие как добавление рекламы или кража информации. Вскоре это подтвердилось, поскольку в октябре 2020 года было выпущено новое обновление для этого расширения (версия 7.1.8), включая скрипты, которые отслеживали поведение пользователя и выполняли код, полученный с удаленного сервера. Вредоносная деятельность привела к тому, что компания Microsoft удалила расширение из Microsoft Edge Store и выпустила новую версию 7.1.9 без вредоносных скриптов. Но то, что уже сделали один раз, можно повторить и второй. Возможно, именно из-за этого Google отключила расширение», — заявил Корронс.
Кроме того, ИБ-исследователями компании Google была обнаружена уязвимость нулевого дня CVE-2021-21148, которая была помечена как «опасная». Как оказалось, она активно эксплуатировалась злоумышленниками, а потому может представлять серьезную угрозу для пользователей браузера — с ее помощью хакеры могли устанавливать в систему жертвы вредоносное ПО и осуществлять кражу личных данных.
В Google уже выпустили патч, защищающий от этой уязвимости, и призвали всех срочно обновиться. До тех пор, пока большинство пользователей не установит этот апдейт, компания не будет раскрывать подробностей об уязвимости, чтобы не спровоцировать еще больше злоупотреблений.
«Уязвимости «нулевого дня» сами по себе не угрожают безопасности рабочих мест пользователей, пока не появляется вредоносное ПО, которое эксплуатирует их, — пояснил директор департамента информационной безопасности компании Oberon Евгений Суханов. — Понятие «нулевого дня» подразумевает, что такие случаи компрометации исходного кода неизвестны существующим средствам защиты информации. Поэтому, в случае их использования вредоносным ПО, со стороны антивирусных средств и систем защиты на компьютере реакции не последует, что особенно критично».
Третья уязвимость браузера Chrome скрывалась в функции Sync, то есть синхронизации данных между разными устройствами пользователя. Chrome Sync хранит в себе историю просмотров, закладки, пароли и другую конфиденциальную информацию. Выяснилось, что злоумышленники могут использовать функцию синхронизации при помощи вредоносного расширения, чтобы отправлять команды зараженным браузерам и похищать персональные данные жертвы.
Третья проблема из вышеобозначенных является наиболее серьезной, поскольку касается вектора атаки через синхронизацию данных учетной записи Google, рассказал «Газете.Ru» консультант Центра информационной безопасности компании «Инфосистемы Джет» Глеб Карманов.
«Эту проблему очень сложно устранить, не нарушив полезный функционал браузера. Тем не менее, для успешного проведения атаки необходимо загрузить вредоносное расширение сторонним способом, то есть не из официального магазина, и вручную установить его. В результате у атакующих появляется возможность передавать и получать данные с зараженного компьютера, на котором запущен браузер. Для защиты рекомендуется устанавливать расширения из официального магазина расширений браузера и внимательно изучать отзывы о них», — заявил Карманов.
Очень сложно определить, сколько пользователей могло быть затронуто в результате злоупотребления найденными уязвимостями, сообщил глава Check Point Software Technologies по исследованию уязвимостей продуктов Одед Вануну.
«Мы можем предположить, что проблема с Great Suspender затронула только пользователей, которые ранее установили расширение для Chrome, но две другие проблемы потенциально могли затронуть любого пользователя», — считает Вануну.
Чтобы защитить себя, эксперт порекомендовал убедиться в том, что браузер автоматически обновляется, а значит устанавливает все необходимые патчи. Кроме того, важно проверить все расширения внутри Chrome и удалить те, которые давно не использовались или кажутся незнакомыми.