Een Google Chrome-extensie met meer dan zevenduizend installaties is na de verkoop door de ontwikkelaar voorzien van malware. Google heeft de QuickLens-extensie inmiddels uit de Chrome Web Store verwijderd. QuickLens werd vorige maand te koop aangeboden op ExtensionHub, een marktplaats voor browser-extensies. Twee weken na de overname verscheen een update van de extensie, die automatisch onder Chrome-gebruikers werd geïnstalleerd.

De update zorgt ervoor dat security-headers uit HTTP responses worden verwijderd, waardoor allerlei aanvallen mogelijk zijn, zoals clickjacking en cross-site scripting. Vervolgens wordt door de extensie een script in elke pagina geïnjecteerd die willekeurige requests naar andere domeinen kan sturen. Normaliter zouden de security-headers deze requests blokkeren, aldus securitybedrijf Annex.

Het geïnjecteerde script stelt dat de gebruiker een zogenaamde Chrome-update moet installeren of een fake captcha moet oplossen. Bij de fake captcha moet de gebruiker een commando op zijn systeem uitvoeren, wat tot de installatie van malware leidt, net zoals met de installatie van de zogenaamde Chrome-update. Volgens Annex laat dit het risico zien van oorspronkelijk legitieme extensies die door criminelen worden overgenomen en gebruikt voor de verspreiding van malware.