Новое расширение для Chrome похищает данные пользователей из Facebook и LinkedIn

Опасное расширение удалось обнаружить эксперту Лоуренсу Абрамсу. Он наткнулся на странное расширение под названием Browse-Secure. В описании указано, что оно является надежным инструментом, обеспечивающим дополнительную безопасность во время веб-поиска. На самом же деле программа не выполняет своих функций, а только наносит вред пользователям. Она собирает данные о людях и передает их на удаленный сервер. Расширение нацелено в первую очередь на сбор данных пользователей социальных сетей Facebook и LinkedIn. В момент авторизации пользователя расширение получает доступ к полной информации, указанной в его учетной записи: имени, адресу электронной почты, номеру мобильного телефона, адресу и прочим данным.

В Chrome Web Store страница расширения выглядит вполне обычно. Насторожить может разве что отсутствие каких-либо изображений. Во всем остальном страница выглядит вполне нормально. Лоуренс Абрамс также рассказал, что ему удалось обнаружить это же расширение на некоторых мошеннических сайтах. При открытии любой страницы такого ресурса пользователю показывается уведомление о том, что ему грозит опасность, а для защиты необходимо установить дополнительное расширение. Якобы оно позволит повысить защищенность браузера и избежать возможной утечки данных.

Сразу же после установки в веб-обозреватель расширение осуществляет попытку подключения к удаленному серверу, который прячется за адресом backend.chupashop.com/getuid4search. В момент соединения каждому подключившемуся компьютеру присваивается индивидуальный идентификатор. После совершения этих действий расширение задействует файл crawl.json, который содержится в нем и скачивается одновременно с установочным файлом. В нем содержится список адресов сайтов, с которых необходимо извлечь данные, а также правил, которым нужно следовать. Как только расширение получает доступ к списку данных, соответствующих обозначенным правилам, оно сразу же отправляет их на удаленный сервер. Для чего именно собирается вся эта информация и как впоследствии она используется, пока неизвестно.

В описании расширения указано, что плагин позволит пользователям обезопасить себя во время поиска информации, но Абрамс сомневается, что это правда. Он вообще поставил под сомнение весь описанный функционал расширения. Специалист изучил, каким именно образом авторы расширения якобы обеспечивают безопасность пользователям. Во время ведения поискового запроса в адресной строке появляется значок замка, обозначающего обычно зашифрованное соединение. Но как оказалось на деле, поисковый запрос сначала поступает расширению, а потом переадресовывается непосредственно заданной поисковой системе. Такой способ позволяет злоумышленникам не только перехватывать все поисковые запросы пользователя, но еще и узнавать его реальный IP-адрес. Поэтому об обеспечении безопасности здесь даже речи не идет, потому что через расширение проходит слишком много личной информации пользователя.