Milioni korisnika prevareni: Popularne Chrome ekstenzije zapravo špijuni?
Prema izveštaju Symantec-a, dodaci za Chrome koji prenose podatke bez enkripcije su PI Rank, Browsec VPN, MSN New Tab, SEMRush Rank i DualSafe Password Manager & Digital Vault. Osim njih, postoje i drugi dodaci koji na sličan način omogućavaju presretanje i zloupotrebu korisničkih podataka.
Iako se navedeni dodaci predstavljaju kao alati za unapređenje korisničkog iskustva i upravljanje lozinkama, oni zapravo ugrožavaju bezbednost korisnika. To znači da svako ko se nalazi na istoj mreži (npr. na javnom Wi-Fi-ju) može videti koji se podaci prenose.
To u nekim slučajevima uključuje domene koje korisnik posećuje, informacije o operativnom sistemu, jedinstvene identifikatore uređaja i telemetrijske podatke. Okriveno je i da nekoliko dodataka ima hardkodovane API ključeve i tokene u svom kodu, što napadačima može omogućiti dalju zloupotrebu.
Slanjem podataka preko HTTP-a umesto HTTPS-a, svi podaci putuju kroz mrežu u tekstualnom formatu. Na javnoj mreži je takav saobraćaj lako presresti, a može se čak i modifikovati u toku prenosa.
Browsec VPN, dodatak koji koristi više od 6 miliona korisnika, tokom procesa deinstalacije šalje korisničke identifikatore i statistiku korišćenja bez ikakve zaštite. Još gore, njegova konfiguracija dozvoljava povezivanje na nesigurne sajtove, dodatno proširujući prostor za napad.
Slične propuste imaju i drugi dodaci. SEMRush Rank i PI Rank šalju kompletne URL-ove posećenih sajtova ka eksternim serverima - što omogućava praćenje korisničkog surfovanja. MSN New Tab i MSN Homepage, sa stotinama hiljada korisnika, prenose identifikator uređaja i druge detalje o uređajima. Ovi identifikatori su trajni pa omogućavaju da se poveže više sesija i naprave profili korisnika.
Čak je i DualSafe Password Manager, alat koji bi trebao da štiti najosetljivije podatke, uhvaćen tokom slanja telemetrije preko HTTP-a. Iako lozinke nisu direktno kompromitovane, ovakvo ponašanje ozbiljno narušava poverenje u dizajn dodatka.
Iako nije utvrđeno curenje lozinki ili direktno kompromitovanje finansijskih podataka, otkrivanje identifikatora uređaja, istorije pretraživanja i telemetrije nije nimalo bezazleno. Napadači ove informacije mogu koristiti za praćenje korisnika na sajtovima, ciljane phishing napade i za izvođenje napada.
Symantec je kontaktirao programere pogođenih dodataka. Za sada je samo DualSafe Password Manager ispravio propust.
Korisnicima se savetuje da uklone pogođene dodatke dok se ne potvrdi da su propusti ispravljeni, da pažljivo proveravaju koje dozvole dodatak traži, izbegavaju dodatke nepoznatih programera i koriste proverena rešenja za zaštitu uređaja.
Izvor: Informacija/Kurir