Verdachte extensies met 4 miljoen installaties ontdekt in Chrome Web Store
Onderzoekers hebben in de Chrome Web Store tientallen verdachte browser-extensies ontdekt die bij elkaar vier miljoen installaties hebben. En dat is opvallend, want de extensies zijn 'unlisted', wat inhoudt dat ze niet via de Chrome Web Store of zoekmachines zijn te vinden. De enige manier om bij deze extensies terecht te komen is het kennen van de url.
Het gaat in totaal om 35 extensies die om allerlei permissies vragen waardoor ze toegang hebben tot het webverkeer op alle bezochte url's, opgeslagen cookies kunnen benaderen, browsertabs kunnen beheren en scripts uitvoeren. Volgens een onderzoeker van Secure Annex is het duidelijk dat de extensies browser-informatie verzamelen, waaronder bezochte websites.
De extensies claimen security- en zoekgerelateerde functies te bieden. Gezien de permissies en opzet van de extensies heeft de onderzoeker die bij Google gerapporteerd, zodat het techbedrijf ze uit de Chrome Web Store kan verwijderen. Daarnaast worden gebruikers van de extensies opgeroepen die van hun systeem te verwijderen.
(...) 'unlisted', wat inhoudt dat ze niet via de Chrome Web Store of zoekmachines zijn te vinden
en
(...) 'gerapporteerd, zodat het techbedrijf ze uit de Chrome Web Store kan verwijderen'
Wat is het nou??
(...) 'unlisted', wat inhoudt dat ze niet via de Chrome Web Store of zoekmachines zijn te vinden
en
(...) 'gerapporteerd, zodat het techbedrijf ze uit de Chrome Web Store kan verwijderen'
Wat is het nou??
Allebei.
De verdachte extensies zijn gevonden in de chrome webstore, maar men wil uiteraard dat ze uit de chrome webstore worden verwijderd, zodat er zekerheid is dat ze van daaruit geen kwaad kunnen doen.
Het vreemde is namelijk dat hoewel ze "unlisted" zijn, ze toch al meer dan 4 miljoen keer zijn geïnstalleerd!
Zie: https://www.nu.nl/tweakers/6352381/onderzoeker-vindt-verdachte-chrome-extensies-met-miljoenen-installaties.html. Gebruikers die ontdekken dat ze op één of andere manier geladen zijn, wordt met klem geadviseerd om ze te verwijderen als ze op hun toestel zijn beland.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
