KOI szerint a WeTab és az Infinity V+ éveken át észrevétlenül térítette el a Chrome és Edge böngészőket: rosszindulatú frissítések, adatgyűjtés. ShadyPanda.
© RusPhotoBank
A WeTab és az Infinity V+ most nagyító alá került, miután kiberbiztonsági szakértők jelezték: ezek és még több másik Chrome‑kiegészítő éveken át észrevétlenül eltéríthette a böngészőket és érzékeny adatokat gyűjthetett. A KOI szerint hozzávetőleg 4,3 millió Chrome‑ és Microsoft Edge‑felhasználó sodródott bele a kampányba, amely nem adathalászatból vagy megtévesztésből élt, hanem a már népszerű bővítmények némán érkező frissítéseire támaszkodott.
A KOI a műveletet a ShadyPanda néven emlegetett csoporthoz köti. A módszer kijózanítóan praktikus volt: előbb teljes értékű bővítményeket tettek közzé, idővel felhúzták a közönséget, az értékeléseket és a letöltésszámokat, majd olyan frissítéseket csúsztattak be, amelyek rosszindulatú kódot hoztak. Mivel az áruházak jellemzően a debütáló verziókat vizsgálják át alaposabban, a későbbi módosítások könnyebben átcsúszhattak – így a megbízhatónak tűnő eszközök hosszú ideig észrevétlenül maradhattak. Ez a türelemre építő taktika egy jól ismert vakfoltot használ ki, és sajnos aligha példa nélküli a bővítményökoszisztémában.
A KOI jelentése több incidenst sorol fel, köztük két 2023‑as kampányt. Az elsőben tucatnyi, háttérképcsomagnak és apró segédprogramnak álcázott bővítmény állítólag felhasználói viselkedést követett nyomon, és oldal‑tartalmakat módosított olyan oldalakon, mint az eBay, az Amazon vagy a Booking.com: affiliate címkéket és követőkódokat injektáltak, hogy a vásárlásokból és a forgalmi adatokból pénzt csináljanak. A második esetben a rosszindulatú funkciók az Infinity V+ bővítményhez kapcsolódtak: átirányították a kereséseket külső oldalra, sütiket gyűjtöttek, naplózták a keresősávba beírt kifejezéseket, majd az adatokat külső szerverekre juttatták ki.
A KOI egy „első fázist” is leír, amelyben öt bővítmény kapott olyan hátsó kaput, amely távoli kódvégrehajtást tett lehetővé, mintegy 300 ezer felhasználót érintve. Némelyikük még 2018–2019 óta szerepelt a kínálatban, és ajánlott minősítésre utaló jelvényt is viselt; 2024 közepén, miután a telepítések megszaporodtak, állítólag olyan frissítést kaptak, amely beépítette a backdoort. A modul rendszeresen parancsokat tudott lekérni, tetszőleges JavaScriptet letölteni, azt böngésző‑API jogosultságokkal futtatni, valamint rosszindulatú HTTPS‑tartalmat beinjektálni bármelyik oldalba. Emellett böngészési előzményeket, hivatkozókat, időbélyegeket, perzisztens azonosítókat, teljes böngésző‑ujjlenyomatot és egyéb adatokat gyűjtött, miközben igyekezett visszafogott maradni, ha a fejlesztői mód be volt kapcsolva.
A kutatás legnagyobb szelete a „második fázisra” koncentrál. A KOI szerint ugyanattól a fejlesztőtől újabb öt bővítmény került be az Edge áruházba, együtt több mint 4 millió telepítéssel; kettő közülük akár rosszindulatú program telepítését is elindíthatta. A legnagyobb figyelem a WeTab nevű új lap bővítményre irányult: neki tulajdonítanak körülbelül 3 millió telepítést, és azt, hogy észrevétlenül telemetriai adatokat küldött – a felkeresett URL‑eket, a keresési találatokat, az egérkattintásokat, a böngésző‑ujjlenyomatot, az oldalon végzett műveleteket és a tárhely‑hozzáférési eseményeket. A KOI úgy írja le, hogy az adatok számos domainen haladtak át, és a frissítési mechanizmus miatt a veszélybe került böngészők bármikor irányítható csomópontokká válhattak további támadásokhoz.
Az esetek rávilágítanak, mennyire ingatag a bővítmények köré épített bizalmi modell: egy népszerű, jól értékelt kiegészítő is könnyen más arcot ölthet egy frissítés után. A praktikus tanács egyszerű, mégis hajlamosak vagyunk halogatni: nézd át a telepített bővítményeidet, távolíts el mindent, amire nincs szükség, figyelmesen vizsgáld meg az engedélyeket, és ha a böngésző furcsán viselkedik, futtass rendszerellenőrzést és cseréld le a jelszavakat – különösen, ha egy bővítmény hozzáférhetett a sütikhez és a böngészési előzményekhez.