Các tiện ích mở rộng trên Chrome được thiết kế để tăng thêm tiện ích cho trình duyệt, nhưng chúng đã trở thành một trong những cách dễ nhất để kẻ tấn công theo dõi hoạt động trực tuyến của bạn. Gần đây, các nhà nghiên cứu bảo mật đã phát hiện ra hai tiện ích mở rộng Chrome đã làm chính xác điều đó trong nhiều năm.
Những tiện ích mở rộng này thoạt nhìn giống như các công cụ proxy vô hại, nhưng đằng sau hậu trường, chúng đã đánh cắp lưu lượng truy cập và đánh cắp dữ liệu nhạy cảm từ những người dùng tin tưởng chúng. Điều tồi tệ hơn là các tiện ích mở rộng này được tìm thấy trên cửa hàng tiện ích mở rộng chính thức của Chrome.
Các nhà nghiên cứu tại Socket đã phát hiện ra hai tiện ích mở rộng Chrome có cùng tên, “Phantom Shuttle”, đóng giả là công cụ định tuyến proxy và kiểm tra tốc độ mạng. Theo các nhà nghiên cứu, các tiện ích mở rộng này đã hoạt động từ năm 2017.
Cả hai tiện ích mở rộng đều được xuất bản dưới cùng một tên nhà phát triển và được quảng cáo cho những người lao động thương mại nước ngoài, những người cần kiểm tra kết nối internet từ các khu vực khác nhau. Chúng được bán dưới dạng công cụ dựa trên đăng ký, với giá dao động từ khoảng 1,40 USD đến 13,60 USD.
Mọi thứ thoạt nhìn có vẻ bình thường. Mô tả phù hợp với chức năng. Giá cả có vẻ hợp lý. Vấn đề là những gì các tiện ích mở rộng đang làm sau khi cài đặt.
Theo các nhà nghiên cứu của Socket, Phantom Shuttle định tuyến tất cả lưu lượng truy cập web của bạn thông qua các máy chủ proxy do kẻ tấn công kiểm soát. Các proxy đó sử dụng thông tin đăng nhập được mã hóa cứng được nhúng trực tiếp vào mã của tiện ích mở rộng. Để tránh bị phát hiện, mã độc được ẩn bên trong những gì có vẻ là một thư viện jQuery hợp pháp.
Kẻ tấn công không chỉ để thông tin đăng nhập ở dạng văn bản thuần túy. Các tiện ích mở rộng ẩn chúng bằng cách sử dụng lược đồ mã hóa chỉ mục ký tự tùy chỉnh. Sau khi hoạt động, tiện ích mở rộng sẽ lắng nghe lưu lượng truy cập web và chặn các thử thách xác thực HTTP trên bất kỳ trang web nào bạn truy cập.
Để đảm bảo lưu lượng truy cập luôn đi qua cơ sở hạ tầng của chúng, các tiện ích mở rộng sẽ tự động định cấu hình lại cài đặt proxy của Chrome bằng một tập lệnh tự động cấu hình. Điều này buộc trình duyệt của bạn phải định tuyến các yêu cầu chính xác đến nơi kẻ tấn công muốn.
Ở chế độ “smarty” mặc định, Phantom Shuttle định tuyến lưu lượng truy cập từ hơn 170 tên miền có giá trị cao thông qua mạng proxy của nó. Danh sách đó bao gồm các nền tảng dành cho nhà phát triển, bảng điều khiển dịch vụ đám mây, các trang mạng xã hội và các cổng nội dung dành cho người lớn. Các mạng cục bộ và miền chỉ huy và kiểm soát của kẻ tấn công bị loại trừ, có khả năng tránh làm hỏng mọi thứ hoặc gây ra nghi ngờ.
Trong khi hoạt động như một kẻ trung gian, tiện ích mở rộng có thể nắm bắt bất cứ thứ gì bạn gửi thông qua các biểu mẫu web. Điều đó bao gồm tên người dùng, mật khẩu, chi tiết thẻ, thông tin cá nhân, cookie phiên từ tiêu đề HTTP và mã thông báo API được lấy trực tiếp từ các yêu cầu mạng.
CyberGuy đã liên hệ với Google về các tiện ích mở rộng này và một phát ngôn viên xác nhận rằng cả hai đều đã bị xóa khỏi Cửa hàng Chrome trực tuyến.
Tin từ Fox News.
