7 Minutit
Seitse aastat vältel jälgisid näiliselt abistavad brauserilaiendid vaikides miljoneid kasutajaid Chrome'i ja Edge'i platvormidel. Turvaeksperdid teatasid, et üks arendaja muutis usaldusväärsed laiendid andmete kogumise tööriistadeks, saades juurde sirvimisajaloo, klõpsatud linkide ja muude delikaatsete signaalide jada.
Kuidas kasulikud tööriistad nuhkvaraks muutusid
Uue Koi Security aruande kohaselt laadis kasutajanimega ShadyPanda alates 2018. aastast üles mitmeid esmapilgul kahjutuna näivaid laiendeid. Alguses käitusid need nagu tavalised abivahendid: puhastavad skriptid, tööriistad brauseri haldamiseks või väikesed tootlikkuse pluginad. Mõned said isegi poest eraldi verifikatsiooni või tunnustuse, mis tekitas kasutajates kindlustunnet.
Kuid kui installide arv kasvas, sisestas arendaja hilisemates uuendustes pahatahtlikku koodi ning laiendid hakkasid salaja andmeid koguma ja edastama. See muutus ei olnud tingimata äkiline ühe redaktsiooniga, vaid pigem samm-sammuline: tõsteti õiguseid, lisati uusi skripte ja kasutati dünaamilist koodi laadimist, mistõttu paljud kasutajad ega isegi poodide automatiseeritud kontrollid ei märganud muudatusi kohe.
Arendaja ja määratlus
Selle juhtumi keskmes on üks kontonimi ja sama arendaja portfell mitmete erinevate laiendustega. Selline lähenemine — paljude sarnaste pluginatega levitamine — võimaldab katvus- ja installeerimisnumbreid kiiresti kasvatada. Arendaja püsis poelehtedel piisavalt kaua, et koguda usaldust ja positiivseid hinnanguid, mis aitasid veelgi laiendada levikut.
Laialdane levik ja populaarsemad näited
Affected laiendused esitasid end brauseri halduse või optimeerimise tööriistadena ning ühiselt ületasid need Chrome'i ja Edge'i poodides 4,3 miljoni installeerimise piiri. Silmapaistvad näited on Clean Master — mis üksi registreeris üle 200 000 installi — ja WeTab, mis aitas kahe poe vahel koguda miljoneid paigaldusi. Sellised sisenemised ilmutavad, kuidas tuntud brändinimed või üldtuntud toimingud võivad aidata pahatahtlikel laienditel usaldust võita.
Milliseid andmeid koguti
Uurijad tuvastasid, et laiendid kogusid pidevalt mitmekesist signaalide komplekti. See hõlmas külastatud URL-e, otsinguajalugu ja peenemaid interaktsioonide mõõdikuid: hiireklõpsud, klõpsude järjestus, lehekülgede vahel liikumise muster ja viited, mis olid leitavad HTTP referrer'i andmetest. Praktikas tähendas see, et laiendused ei salvestanud üksnes lehe aadresse, vaid ka konteksti, kuidas kasutajad saidile jõudsid ja kuidas nad seal käitusid.
Tehnilised meetodid andmete korjamiseks
Tehniliselt kasutati selleks mitut lähenemist. Levinud olid content scriptid, mis töötasid lehe kontekstis ja lugesid DOM-ist andmeid; webRequest API, mis võimaldas jälgida ja muuta võrgu- või päringutepealset liiklust; ning taustprotsessid (background scripts), mis agregeerisid andmeid ja saatmiste järjekorda seadsid. Mõned laiendid kasutasid ka obfuskeeritud koodi ja dünaamilist skripti laadimist välisest serverist, et vältida staatilist analüüsi ning ajutiselt peita pahatahtlikke funktsioone.
Andmete edastamine ja säilitamine
Kogutud andmed saadeti korduvalt tundmatutele välisserveritele. Saatmine toimus kas otseste HTTP/HTTPS päringutega või krüpteeritud kanalite kaudu, mis aitas varjata päringute sisu ja sihtkohta. Selline korduv andmevoog võimaldas pikaajalist jälgimist ja andmepõhist profiili loomist iga kasutaja kohta, sageli ilma kasutajate teadlikkuse või nõusolekuta.
Mõju kasutajate privaatsusele ja regulatsioonidele
Selline massiline andmete kogumine võib rikkuda isikuandmete kaitse reegleid, näiteks Euroopa Liidu GDPR-i nõudeid, kui kasutajaid ei informeerita õiglaselt ning kui andmete edastamise aluseks puudub seaduslik alus. Lisaks esineb riske kolmandate osapooltega jagamise ja andmelekkete puhul, mis võivad viia jälituse, profiilide sattumise andmebörsidesse või muuks väärkasutuseks.
Mida sa peaksid nüüd tegema
Google ja Microsoft on kinnitanud, et need pahatahtlikud laiendused on nende veebipoodidest eemaldatud. Kuid poe eemaldamine ei tähenda, et laiendid oleksid automaatselt kasutajate seadmetest desinstallitud. Seega on oluline, et kasutajad tegutseksid ise. Alljärgnevalt on praktilised sammud ja soovitused, kuidas end kaitsta, tuvastada riskid ja taastada privaatsus.
Kohene kontroll ja eemaldamine
Alusta oma brauseri laienduste auditist. Vaata üle iga installitud laiendi nimi, arendaja, hinnangud ja viimane uuendus. Eemalda kõike, mis tundub võõras, millel on ebapiisav dokumentatsioon või millel on ebatavalised õigused (näiteks ligipääs kõigile lehtedele, võime luua taustal võrgupäringuid jne). Pärast desinstallimist taaskäivita brauser ja kontrolli seniseid andmeid, mis võivad olla sünkroonitud teenustega.
Kuidas kustutada sünkroonitud andmeid
Kui kasutad brauseri sünkroonimist (account sync), siis pelgalt laiendi eemaldamine ei pruugi kustutada varasemaid sünkroonitud salvestusi. Mine oma konto seadetesse ja leia sünkroonitud andmete haldus — kustuta laiendite andmed, vaata läbi sünkroonitud kirjeid ning vajaduse korral logi välja ja logi uuesti sisse, et sundida sünkroonimist puhastama lokaalseid ja pilves olevaid andmeid.
Skaneeri süsteemi ja vaheta olulised paroolid
Pärast kahtlase laiendi eemaldamist skaneeri arvutit ja brauserit usaldusväärse turvatarkvara abil. Otsi spetsiifiliselt pahavara, reklaamvara ja võimalikku andmepüügi sisu. Vaheta paroolid kõikide kriitiliste kontode puhul — e-post, pangandus, sotsiaalmeedia — ja lülita sisse kaheastmeline autentimine (2FA), kus võimalik. Kui märkad ebaharilikku sisselogimist või turvaintsidente, teavita vastavaid teenuseid ja jälgi konto aktiivsust.
Kuidas tuvastada kahtlast käitumist
Märgid, mis viitavad sellele, et laienduse eemaldamine üksi ei pruugi kõike lahendada: ootamatud võrguühendused võõraste hostidega, suur andmeedastus brauseri taustaprotsesside poolt, brauseri aeglane jõudlus, ootamatud hüpikaknad või suunamised ning sünkroonitud ajalugu, mis taastub pärast desinstallimist. Sellisel juhul on mõistlik igaks juhuks taastada brauseri sünkroonimine, kontrollida seadme turvalisust ja kaaluda brauseri profiili lähtestamist või uue profiili loomist.
Ennetavad meetmed ja head tavad
Et vähendada riske tulevikus, järgi järgmisi põhimõtteid: installi laiendeid vaid tuntud arendajatelt ja kontrollitud allikatest; loe kasutajate hinnanguid ja kommentaare; vaata üle palutud õigused enne installeerimist; piiritle laiendite ligipääsu; hoia brauser ja turvatarkvara ajakohasena. Organisatsioonides kasuta keskseid poliitikaid, mis lubavad installimist vaid heakskiidetud laienditele ja keelavad tundmatute allikate kasutamise.
- Regulaarsed auditeerimised: kontrolli installitud laiendeid vähemalt kord kuus.
- Minimeeri õiguseid: ära anna laienditele laiaulatuslikke õigusi, kui need pole funktsionaalsuse jaoks hädavajalikud.
- Kasuta laienduste haldurit: mõningad tööriistad ja brauserid pakuvad funktsioone laienduste ülevaatamiseks ja ohtlike laienduste automaatseks keelamiseks.
Kui kahtlustad rikkumist
Kui pärast eeltoodud samme märkad endiselt kahtlaseid märke, konsulteeri küberturbe spetsialistiga või IT-osakonnaga. Rikkumine, mis hõlmab tundlike andmete eksponeerimist, võib vajada ametlikku teavitust ja täiendavaid samme seadmete puhastamiseks või taastamiseks. Dokumenteeri kõik leitud tõendid ja hoia logisid edasise analüüsi jaoks.
See intsident tuletab meelde, et isegi usaldusväärsena näivad laiendid võivad aja jooksul muutuda pahatahtlikeks. Regulaarne õiguste ülevaatus, piiratud installimine tuntud arendajatelt ning brauseri uuenduste jälgimine on praktilised sammud riski vähendamiseks. Lisaks on oluline tehniline teadlikkus: mõista, kuidas laiendused töötavad, milliseid API-sid nad kasutavad ja milline on normaalne võrguliikluse muster sinu brauseris.
Tehnilised soovitused arendajatele ja ettevõtetele
Arendajatele tasub rõhutada turvalise koodi olulisust, läbipaistvust ja kasutajate privaatsuse austamist. Kui oled organisatsioon, kaalu järgmisi samme: rakenda valge nimekirja poliitika, kasuta hallatavaid laienduste kontosid, tekita auditiprotsessid ja tee turvakontroll enne laienduse lubamist ettevõtte kasutajatele. See aitab vältida olukordi, kus kolmanda osapoole liidestused ohustavad kogu organisatsiooni kohalolekut veebis.
Lõppkokkuvõttes nõuab brauseri laienduste turvalisus nii kasutajate teadlikkust kui ka tehnilist distsipliini. Regulaarne jälgimine, turvauuenduste paigaldamine ja selged juhised laienduste installimiseks vähendavad oluliselt riske, mida toovad kaasa nuhkvara, andmete vargus ja ebausaldusväärsete arendajate tegevus.
Allikas: smarti
Jäta kommentaar