Populaire browseruitbreidingen voor Google Chrome en Mozilla Firefox Gebruikersgegevens verzamelen en mogelijk profiteren van gebruikersgegevens?

Browser-extensies helpen de functionaliteit uit te breiden of vervelende aspecten van webbrowsers te stoppen. Verschillende populaire extensies voor Mozilla Firefox en Google Chrome hebben echter naar verluidt veel gegevens van de gebruikers van deze browsers verzameld en opgepot. De extensies hebben niet alleen gegevens verzameld, maar lijken daar ook van te profiteren. Overigens downloaden, installeren en activeren miljoenen gebruikers de browserextensies nog steeds actief zonder op de hoogte te zijn van de extra processen die deze extensies uitvoeren. Naast het verbruik van bandbreedte en een bedreiging voor de gegevensintegriteit, kunnen de uitbreidingen ook de productiviteit belemmeren.

Er zijn verschillende populaire browserextensies. Miljoenen internetgebruikers zoeken gretig naar en downloaden ze om extra functionaliteit toe te voegen. Verschillende extensies vereenvoudigen het browsen, elimineren rommel, blokkeren advertenties of vervelende JavaScript-applets, waardoor browsen productiever of visueel aantrekkelijker wordt, en nog veel meer. Hoewel de meeste browserextensies voor populaire webbrowsers worden ontwikkeld en onderhouden door toegewijde ontwikkelaars, worden sommige ontworpen en geïmplementeerd met bijbedoelingen. Een recent gepubliceerd rapport bevatte een analyse van enkele browserextensies en hun ongeoorloofde gedrag dat gebruikers en hun gegevens in gevaar brengt. Het rapport onthulde dat verschillende populaire browserextensies voor Google Chrome en Mozilla Firefox een geavanceerd schema voor het verzamelen van browsergegevens gebruikten.

DataSpii-rapport onthult hoe sommige populaire browser-extensies gegevens verzamelden terwijl ze verdenking en detectie vermeden

Het verzamelen van gegevens en pogingen om hiervan te profiteren is behoorlijk serieus. Wat echter even zorgwekkend is, zijn de methoden die zijn toegepast door de ontwikkelaars die deze populaire browserextensies voor Google Chrome en Mozilla Firefox hebben ontworpen en geïmplementeerd. De extensies hadden een slimme programmering om in de eerste dagen, na de installatie, inactief te blijven. Dit heeft de gebruikers waarschijnlijk voor de gek gehouden door aan te nemen dat de extensies veilig en betrouwbaar waren.

Het rapport waarin de schuldige browserextensie wordt beschreven, wordt ‘DataSpii’ genoemd. Het uitgebreide rapport is opgesteld door beveiligingsonderzoeker Sam Jadali. Het DataSpii-rapport noemt de boosdoeners die gegevens hebben verzameld van miljoenen Mozilla Firefox- en Google Chrome-webbrowsergebruikers. Bovendien onthult het rapport ook hoe deze schijnbaar onschuldige en productiviteitsverhogende browserextensies het zo lang lukte om weg te komen met het verzamelen van gegevens. Het rapport beschrijft ook de technieken die door de ontwikkelaars zijn ingezet.

Jadali is de oprichter van de internethostingservice Host Duplex. Hij merkte dat er iets niet klopte toen hij privéforumlinks van klanten vond die waren gepubliceerd door analysebedrijf Nacho Analytics. Bovendien had het platform ook informatie over interne linkgegevens van grote bedrijven zoals Apple, Tesla of Symantec. Onnodig te vermelden dat dit privélinks zijn. Met andere woorden, geen enkele externe leverancier, website of online platform in het algemeen zou hetzelfde moeten bezitten. Na uitgebreide analyse was de beveiligingsonderzoeker ervan overtuigd dat het enkele van de extensies waren die gebruikers onbewust hadden gedownload en geïnstalleerd op de webbrowsers die informatie verzamelden of lekten.

Browser-extensies voor het grijpen van gegevens hadden ingebouwde code om hun secundaire doel te verhullen

De zoektocht naar platforms of programma's die gegevens verzamelen, is op zich een moeilijke taak. Het verzamelen van bewijsmateriaal voor browserextensies was echter nog lastiger. Dit komt doordat de uitbreidingen een systematisch proces volgden dat behoorlijk opeenvolgend en geleidelijk was. Met andere woorden, de extensies werkten langzaam en stil om detectie en verwijdering te voorkomen. Bovendien communiceerden de extensies op een heel andere en complexe manier met hun masterservers.

Nadat de browserextensie was gedownload, bleef deze de beoogde taken redelijk goed uitvoeren. De extensie bleef ongeveer drie weken werken om een ​​indruk van vertrouwen te wekken en ervoor te zorgen dat de browsergebruiker deze niet zou verwijderen. Echter, net na de installatie namen de extensies contact op met de door de ontwikkelaar aangewezen servers en rapporteerden hun installatietijd, installatieversie, huidige versie en unieke extensie-ID. Na ongeveer twee weken ontvingen de extensies een automatische update, maar ze hebben nog steeds geen browsegeschiedenis verzameld.

Nadat drie weken waren verstreken en de extensies nog steeds waren geïnstalleerd, zouden ze een tweede automatische update ontvangen nadat ze het contact met de aangewezen servers hadden hersteld en hun status hadden bijgewerkt. Deze keer downloadden ze echter hun eerste datapakket of payload. Deze payload bevat een verkleind JavaScript-bestand. Het was dit script dat de browsegegevens van de gebruiker verzamelde en naar een door de ontwikkelaar beheerde server stuurde.

Interessant is dat de payload nooit is gedownload of opgeslagen in de extensiemap. In plaats daarvan kwamen ze terecht in de map met het primaire systeemprofiel van de browser. Onnodig toe te voegen, omdat de payloads of JavaScript worden opgeslagen in het systeemprofiel van de browser, maken de extensies het aanzienlijk moeilijker voor onderzoekers om de boosdoeners eerder te vangen. Overigens worden de scripts niet bijgewerkt of raken ze zelfs de daadwerkelijke extensie die ze heeft gedownload, niet aan. Daarom ziet alles er normaal uit aan de oppervlakte.

Tenzij een onderzoeker moeite doet om zich te concentreren op minieme veranderingen in het systeemprofiel van de browser op het apparaat van het slachtoffer, is het niet mogelijk om simpelweg de browser, de installatiemap en de extensiemap te analyseren om verdacht gedrag te ontdekken, merkte Jadali op: "Als mensen de extensie zelf bekijken, zullen ze die instructieset voor het verzamelen van gegevens niet zien. Het is op een heel andere plek. We hebben dit experiment zes keer herhaald, onder verschillende scenario's. Elke keer behaalden we hetzelfde resultaat. In het verleden zijn vergelijkbare [vertraging] tactieken gebruikt om gegevensverzameling door andere browserextensies te vermijden.

Naast de bovengenoemde technieken om detectie te voorkomen, gebruikten de browserextensies base64-codering en datacompressietechnieken. Samen hebben de stukjes software de gegevens die worden geüpload netjes versluierd. Dit vergrootte de complexiteit van de gegevens die werden verzonden, en maakte het daardoor nog moeilijker om vast te stellen of gegevens werden verzameld en discreet naar externe servers werden verzonden. In wezen werden de gegevens routinematig veranderd en gemaskeerd. Sommige ontwikkelaars achter de extensies hebben de codering en compressie regelmatig aangepast voordat ze gegevens verzamelden en uploadden.

Welke populaire browseruitbreidingen waren schuldig aan het verzamelen en mogelijk verkopen van gebruikersgegevens?

In totaal ontdekte de onderzoeker ongeveer acht aanstootgevende browserextensies die gegevens verzamelden, naar externe servers stuurden en mogelijk hun ontwikkelaars hielpen geld te verdienen. Het is niet meteen duidelijk of er meer zijn. Het is echter interessant om op te merken dat het merendeel van de browserextensies voor gegevensverzameling is ontworpen voor Google Chrome. Slechts drie van de acht aanstootgevende extensies waren bedoeld om op Mozilla Firefox te worden geïnstalleerd.

Van de drie browserextensies voor Mozilla Firefox verzamelden twee van de extensies alleen gegevens als ze werden geïnstalleerd vanaf sites van derden en niet van Mozilla AMO. Als voorzorgsmaatregel worden gebruikers sterk gewaarschuwd geen browserextensies te downloaden van niet-vertrouwde websites. Het is het beste om al dergelijke add-ons van platforms van derden te vermijden.

Een snelle zoektocht naar de gegevensstelende browserextensies onthult dat ze allemaal zijn verwijderd. Hoewel er maar één was op Mozilla AMO, ontbreken de vijf extensies voor Google Chrome in de Chrome Web Store. Dit is overigens niet het eerste exemplaar van browserextensies die gegevens proberen te stelen. Zowel Google als Mozilla vangen dergelijke extensies regelmatig op en verbieden ze uit hun winkel. Deskundigen beweren echter dat browsermakers de beveiligingscontroles nog strenger zouden kunnen maken, en sommige interne analyses en processen voor extensies die zijn gedownload van websites van derden.

Facebook Twitter Google Plus Pinterest