Потребителите на водещия уеб браузър Google Chrome са били обект на масова шпионска атака през последните месеци чрез фалшиви приложения (add-ons). Разширенията са били изтеглени 32 милиона пъти по данни на компанията за анализ на мрежовия трафик Awake Security, предаде Ройтерс.

От Awake Security подчертават, че това е провал в технологичната индустрия за защита на браузърите, a те се използват все повече за комуникация, изплащане на заплати и други чувствителни дейности.

Google съобщават, че са премахнали над 70 такива фалшиви приложения, след като са получили информацията за атаката миналия месец.

"Когато ни уведомят за разширения в уеб магазина, които нарушават нашите политики, ние предприемаме действия и използваме тези инциденти, за да подобрим нашите автоматизирани и ръчни анализи", заяви говорителят на Google Скот Уестовър.

Повечето от безплатните приложения са твърдели, че ще предупреждават потребителите за съмнителни уебсайтове или ще конвертират файлове от един формат в друг. Вместо това те са прехвърляли историята за посетени сайтове, както и идентификационни данни за достъп до вътрешни бизнес инструменти.

Според броя на изтеглянията това е била най-мащабната шпионска атака чрез уеб магазина на Chrome до момента, смята съоснователят на Awake и главен изследовател Гари Голомб.

От Google са отказали информация как последната атака се сравнява с предишни, колко големи са били щетите и защо не се откриват и премахват фалшивите приложения самостоятелно, въпреки предишни обещания за по-строг надзор.

Все още не е ясно кой стои зад усилията за разпространение на зловредния софтуер. Awake казват, че разработчиците са дали фалшиви данни за контакт, когато са предоставили разширенията на Google.

"Разширенията са създадени, за да избегнат откриването им от антивирусни програми или софтуер за сигурност, който оценява репутацията на уеб домейните", каза Голомб. 

Според разкритията на изследователите, ако някой използва браузъра за сърфиране в интернет на домашен компютър, той ще се свърже към поредица от уебсайтове и ще предава информация. Използването от корпоративна мрежа, която включва услуги за сигурност, няма да предава чувствителната информация и дори няма да достига до злонамерените версии на уебсайтовете.

Голомб обясни, че това показва как нападателите могат да използват много прости методи, за да скрият в случая хиляди злонамерени домейни. 

Всички въпросни домейни, повече от 15 000 са свързани помежду си и са били купени от малка компания в Израел - Galcomm, официално известна като CommuniGal Communication Ltd.

От Awake подчертават, че е няма как Galcomm да не знаят какво се случва.

Собственикът на Galcomm Моше Фогел заяви пред Ройтерс, че компанията му не е направила нищо лошо.

"Galcomm не участва и не е в съучастие с каквато и да било престъпна дейност", добави Фогел. Той обясни, че напротив самите те сътрудничат на органите на реда, за да предотвратят подобни атаки.

Фогел твърди, че е получавал запитванията от Awake през април и май и няма информация за кои домейни става дума. 

"Всичко, което попадне в нечий браузър или имейл, или други чувствителни области, би било с цел шпионаж от държави, както и от организираната престъпност", заяви Бен Джонсън, бивш инженер от Националната агенция за сигурност (NSA) на САЩ и основател на Carbon Black и Obsidian Security.

Регулаторът на домейните в интернет ICANN заяви, че е получавал малко оплаквания за Galcomm през годините и нито един за злонамерен софтуер.

Докато първоначално фалшивите приложения пускаха нежелани реклами, сега е по-вероятно и да инсталират допълнителни злонамерени програми, както и да проследяват къде са потребителите и какво правят за правителствени или търговски шпиони. Този проблем с такива разширения е от години, но в момента са много по-широко разпространени.

Разработчиците използват Google Chrome Store от дълго време. Но, след като едно от всеки 10 приложения беше счетено за злонамерено, Google заяви през 2018 г., че ще подобри сигурността си, отчасти чрез увеличаване на проверката от хора, а не само от машини.

През февруари независимият изследовател Джамила Кая и Duo Security на Cisco Systems разкриха подобна шпионска кампания в Chrome, която открадна данни от около 1,7 милиона потребители. Тогава Google се присъедини към разследването и откри 500 измамни разширения.