Des centaines de modules complémentaires populaires utilisaient des charges utiles cryptées de la taille d’une URL pour envoyer des requêtes de recherche, des référents et des horodatages à des serveurs externes, dans certains cas liés à des courtiers de données et à des opérateurs inconnus.
On estime que 37 millions d’installations dans le monde d’une série d’extensions Chrome qui fuient transmettent l’historique de navigation des utilisateurs à des serveurs externes.
Selon les conclusions d’un chercheur indépendant en sécurité utilisant le pseudonyme « Q Continuum », un total de 287 extensions ont envoyé des données qui correspondaient étroitement aux URL visitées lors de sessions de navigation simulées.
« Les acteurs derrière les fuites couvrent tout le spectre : Similarweb, Curly Doggo, Offidocs, des acteurs chinois, de nombreux petits courtiers de données obscurs et un mystérieux ‘Big Star Labs’ qui semble être une branche étendue de Similarweb », a déclaré le chercheur. Pour effectuer l’analyse, le chercheur a construit un pipeline automatisé qui a lancé des instances Chrome, installé des extensions, visité un ensemble prédéfini de sites Web et capturé les communications sortantes.
Le chercheur a averti qu’une telle collecte de données pourrait permettre l’espionnage industriel en exposant les URL internes de l’entreprise auxquelles les employés accèdent et, dans les cas où les extensions obtiennent également des cookies, pourrait faciliter la collecte d’informations d’identification en fournissant aux attaquants des détails sur les sessions Web actives.
Les extensions incluent des VPN, des outils de productivité et des modules complémentaires d’achat
L’étude a identifié de nombreuses extensions largement distribuées présentant un comportement à risque dans des catégories telles que les services VPN/proxy, les outils de recherche de coupons, les outils PDF et les utilitaires de navigateur. Beaucoup d’entre eux comptent des centaines de milliers, voire des millions d’utilisateurs.
Quelques-unes de ces extensions incluent le bloqueur de pop-up pour Chrome, Stylish, BlockSite block Websites, Stay Focused, SimilarWeb – Website traffic and SEO Checker, WOT : Website Security and Safety Checker, Smarty, Video Ad Blocker Plus pour YouTube, Knowee AI et CrxMouse : Mouse Gestures.
Selon le chercheur, plusieurs extensions demandaient des autorisations d’hôte étendues (intersites). Cela leur a permis d’observer les événements de navigation et l’activité des pages dans tous les domaines. « Si une extension lit simplement le titre de la page ou injecte du CSS, son empreinte réseau devrait rester stable quelle que soit la longueur de l’URL que nous visitons », a déclaré le chercheur, expliquant la logique derrière son signalement.
« Si le trafic sortant augmente de manière linéaire avec la longueur de l’URL, nous avons une forte probabilité que l’extension envoie l’URL elle-même (ou l’intégralité de la requête HTTP) à un serveur distant. »
L’exfiltration cryptée a rendu la détection difficile
Le chercheur a déclaré dans un article de blog que plusieurs de ces extensions tentaient de cacher la nature des données transmises. Les charges utiles sortantes étaient fréquemment cryptées ou codées avant la transmission, empêchant ainsi une inspection automatisée.
« L’inspection manuelle du trafic capturé a révélé une variété de schémas d’obscurcissement : base64, ROT47, compression LZ-String et cryptage complet AES-256 enveloppé dans RSA-OAEP », a déclaré le chercheur dans un rapport distinct publié sur les résultats. « Le décodage de ces charges utiles a montré des URL de recherche Google brutes, des référents de pages, des identifiants d’utilisateur et des horodatages envoyés à un réseau de domaines propriétaires et de points de terminaison de fournisseurs de cloud.
L’environnement de test du chercheur exécutait Chrome dans un conteneur Docker, permettant à chaque extension d’être isolée et analysée de manière cohérente.
« Nous devons noter que toutes les extensions qui fuient l’historique du navigateur n’ont probablement pas une intention malveillante », a déclaré le chercheur, précisant qu’ils ont dû supprimer manuellement quelques faux positifs des journaux des extensions étiquetées par leur scanner automatisé. « Certaines extensions peuvent être inoffensives et nécessiter de collecter l’historique du navigateur pour des fonctionnalités telles que » Avast Online Security & Privacy « , par exemple. »
La divulgation comprenait une liste d’URL du Chrome Web Store et des acteurs derrière ces extensions à titre de référence.
