Pisanie dodatków do przeglądarki Chrome to z reguły mało dochodowe zajęcie. Nawet, jeśli nasz dodatek zyska popularność porównywalną z FlashBlockiem czy ScriptSafe to jedyną formą zarobienia na nim będą reklamy lub dotacje od użytkowników — a nie są to kokosy. Chyba, że… sprzedamy nasz dodatek twórcom złośliwego oprogramowania. Niektórzy z developerów już to zrobili.

Chrome ułatwia propagację “złośliwego” dodatku

Przeglądarka Chrome to ciekawa platforma deweloperska — automatycznie wymusza aktualizację nie tylko samego silnika przeglądarki, ale także dodatków, które zainstalował użytkownik. Oczywiście nie ma w tym złych intencji Google — automatyczna aktualizacja to w końcu opcja podnosząca bezpieczeństwo użytkowników. Niestety, czasem może to działać na korzyść twórców złośliwego oprogramowania…

Problem bowiem w tym, że część z dodatków, które w momencie instalacji mogły być użyteczne i zaufane, wcale nie muszą nimi być teraz. A przecież Chrome nie poinformuje nas o tym, że któryś z dodatków zmienił właściciela na nowego, o niezbyt czystych intencjach…

Przykłady złośliwych rozszerzeń

Blog OMGChrome opisuje wyznania developera dodatku “Add to Feedly“, który został sprzedany twórcom złośliwego oprogramowania za 4-cyfrową kwotę (w dolarach).


Add to Feedly
Po miesiącu od transakcji sprzedaży, nowi właściciele wypuścili aktualizację, która automatycznie dotarła do 30 000 użytkowników tego rozszerzenia. Nowe “funkcje” wstrzykiwały we wszystkie przeglądane przez użytkownika strony złośliwe reklamy oraz podmieniały obecne w tekście linki.

Kolejnym przypadek tego typu opisuje Ars Technica — było nim rozszerzenie “Tweet This Page“, które przechwytywało wyszukiwania w Google, kierując wyniki na złośliwe strony internetowe.

Tu trzeba wspomnieć o tym, że oryginalny developer rozszerzenia Add To Feedly nie miał pojęcia komu sprzedaje rozszerzenie i nie przypuszczał, że zostanie ono wykorzystane do ataków.

Jak wykryć złośliwe rozszerzenie?

Nie jest to łatwe. Po pierwsze, skanery automatyczne mają problem z wykrywaniem złośliwego JavaScriptu dynamicznie wstrzykiwanego w kontekst stron WWW. Po drugie, dodatki są skojarzone z kontem Google danego użytkownika, a więc reinstalacja nie pomoże — zaraz po zalogowaniu się do Chrome na świeżym systemie, złośliwe rozszerzenie znów zostanie ściągnięte.

Z tego powodu lepiej zapobiegać niż leczyć. Proponujemy więc wejść na zainstalowanych stronę dodatków i zweryfikować, czy rzeczywiście ich potrzebujecie. Warto też zwrócić uwagę, że “wstrzykiwać” złośliwy kod mogą tylko te z rozszerzeń, które podczas instalacji proszą o urpawnienie o nazwie:access your data on all web pages


Uprawnienia dodatku, które pozwalają na wstrzykiwanie treści w strony WWW

Można także zainstalować specjalne rozszerzenie, które będzie informowało nas w momencie, w którym inne rozszerzenie się zaktualizuje (Yo Dawg!). W tym przypadku trzeba jednak mieć nadzieję, że autor tego rozszerzenia się nie sprzeda