Google har tagit bort 34 skadliga webbläsartillägg från sin Chrome Web Store som tillsammans hade ett nedladdningsantal på 87 miljoner. Även om dessa tillägg hade legitim funktionalitet, kunde de ändra sökresultat och skicka skräppost eller oönskade annonser.
Förra månaden upptäckte en oberoende cybersäkerhetsforskare Wladimir Palant ett webbläsartillägg som heter “PDF Toolbox” (2 miljoner nedladdningar) för Google Chrome som hade en skickligt förtäckt förvirrad kod för att hålla användarna omedvetna om deras potentiella risker.
Chrome Web Store tar bort 34 skadliga tillägg med 87 miljoner nedladdningar
Forskaren analyserade PDF Toolbox-tillägget och publicerade en detaljerad rapport den 16 maj. Han förklarade att koden gjordes för att se ut som ett legitimt förlängnings-API-omslag. Men tyvärr tillät denna kod “serasearchtop[.]com” webbplats för att injicera godtycklig JavaScript-kod i varje webbsida som en användare tittade på.
Enligt rapporten inkluderar de potentiella övergreppen att kapa sökresultat för att visa sponsrade länkar och betalda resultat, till och med erbjuda skadliga länkar ibland och att stjäla känslig information. Kodens syfte förblev dock okänt, eftersom Palant inte upptäckte någon skadlig aktivitet.
Forskaren fann också att koden var inställd för att aktiveras 24 timmar efter installation av tillägget, vilket pekar på skadliga avsikter, nämnde rapporten.
I en uppföljningsartikel publicerad den 31 maj 2023skrev Palant att han hade hittat samma skadliga kod i ytterligare 18 Chrome-tillägg med ett totalt antal nedladdningar på 55 miljoner på Chrome Web Store.
I fortsatta undersökningar hittade Palant två varianter av koden som var väldigt lika men med mindre skillnader:
- Den första varianten maskerar sig som Mozillas WebExtension webbläsare API Polyfill. “config”-nedladdningsadressen är https://serasearchtop.com/cfg/
/polyfill.json, och den manipulerade tidsstämpeln som förhindrar nedladdningar inom de första 24 timmarna är localStorage.polyfill. - Den andra varianten maskerar sig som Day.js-bibliotek. Den laddar ner data från https://serasearchtop.com/cfg/
/locale.json och lagrar den manglade tidsstämpeln i localStorage.locale.
Båda varianterna behåller dock den exakta godtyckliga JS-kodinjektionsmekanismen som involverar serasearchtop[.]com.
Medan forskaren inte observerade den skadliga koden i aktion, noterade han flera användarrapporter och recensioner på Web Store som indikerar att tilläggen kapade sökresultat och slumpmässigt omdirigerade dem någon annanstans.
Även om Palant rapporterade sina upptäckter till Google, förblev tilläggen tillgängliga i Chrome Web Store. Först efter att cybersäkerhetsföretaget Avast bekräftat den skadliga karaktären hos Chrome-tilläggen togs de offline av sökjätten.
Palant hade listade 34 skadliga tillägg på sin webbplats, med ett totalt antal nedladdningar på 87 miljoner. I dagsläget har alla dessa skadliga tillägg tagits bort av Google från Chrome Web Store. Men detta inaktiverar eller avinstallerar dem inte automatiskt från deras webbläsare. Därför rekommenderas användare att avinstallera dem från sina enheter manuellt.