Weer malafide extensies in Chrome Web Store met miljoenen downloads
In de Chrome Web Store zijn weer malafide browser-extensies met miljoenen downloads ontdekt. Sommige van de extensies blijken al jaren in de Store te staan, zo meldt Wladimir Palant, beveiligingsonderzoeker en ontwikkelaar van de bekende adblocker Adblock Plus. Onlangs vond Palant al tientallen malafide apps in de Chrome Web Store die bij elkaar 87 miljoen downloads hadden. Deze extensies injecteerden code op elke door gebruikers bezochte websites.
Palant besloot verder onderzoek te doen en ontdekte weer een reeks dubieuze extensies. Die blijken onder andere gebruikers bij het bezoeken van bepaalde sites naar andere websites door te sturen. Volgens de onderzoeker gaat het om "affiliate fraud", waarbij extensies worden beloond voor het genereren van verkeer naar bepaalde sites. Van de 109 extensies die Palant onderzocht vroegen er 102 toegang tot alle websites die de gebruiker bezoekt, vaak in combinatie met de 'tabs privilege'. Daarmee kunnen de extensies te bezoeken sites detecteren en vervolgens de fraude plegen door de gebruiker naar een andere site door te sturen.
Niet alleen kunnen de extensies een uitgebreid profiel aanleggen van de websites die de gebruiker bezoekt, maar ook het injecteren van JavaScript op bezochte websites is mogelijk. Verder blijkt dat de extensies, die bij elkaar meer dan 62 miljoen gebruikers hebben, in strijd met het beleid van de Chrome Web Store zijn. Zo zijn meerdere extensies nagenoeg identiek aan elkaar en proberen ze zoveel mogelijk permissies als mogelijk te krijgen, terwijl dit niet voor de werking van de extensie is vereist.
Grote sites ontvangen dan ook massaal csp-reports door allerlei plugins die allemaal dingen toevoegen.
Zou fijn zijn als browsermakers daar een einde aan maken.
Zij die ' vrijwel niets kunnen en doen' nemen de beslissingen en krijgen de 'poet'.
#webproxy
Er is overigens nogal wat mis wat betreft best policy configuraties bij heel wat websites.
Men wil voor een dubbeltje op de eerste rang zitten, maar brengt daar wel heel veel eindgebruikers mee in gevaar.
Beter niet (laten) doen, beslissing nemer, want uiteindelijk zit de rekening hiervoor steeds onder in de zak
luntrus
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.