Czy wtyczki do pobierania TikToków powinny zbierać tyle danych? Kampania 12 złośliwych rozszerzeń Chrome i Edge

Badacze bezpieczeństwa z LayerX ujawnili kampanię obejmującą co najmniej 12 rozszerzeń do przeglądarek Chrome i Edge, które pod pozorem narzędzi do pobierania nagrań wideo z TikToka, zbierają dane o urządzeniach użytkowników. Dodatkowo dynamicznie pobierają konfigurację, dzięki czemu potencjalnie możliwe jest wprowadzanie zmian w działaniu wtyczki bez konieczności publikowania nowych wersji. Rozszerzenia nie są powiązane z TikTok ani ByteDance.

TLDR:

• Kampania obejmuje co najmniej 12 rozszerzeń Chrome/Edge udających narzędzia do pobierania filmów z TikToka.
• Rozszerzenia bazują na podobnym kodzie i korzystają ze zdalnej konfiguracji, co pozwala zmieniać ich zachowanie bez wydawania nowych wersji.
• Mechanizmy fingerprintingu umożliwiają profilowanie użytkowników i potencjalnie śledzenie między sesjami.
• Część rozszerzeń było oznaczonych jako “Featured”, co zwiększało ich wiarygodność. Łącznie wtyczki dotarły do ponad 130 tys. użytkowników.

Wszystkie zidentyfikowane wtyczki korzystają z tego samego lub lekko zmodyfikowanego kodu, co sugeruje celową publikację w ramach jednej kampanii. Do tej pory rozszerzenia dotarły łącznie do ponad 130 tysięcy użytkowników Chrome Web Store i Microsoft Edge Add-ons. Część z nich była wciąż dostępna w dniu publikacji badaczy.

Z zewnątrz wyglądają one jak różne, niezależne narzędzia: “TikTok Video Downloader”, ”Mass TikTok Downloader”, “No Watermark Saver”, ale tak naprawdę bazują na bardzo podobnym kodzie.

Wszystkie rozszerzenia współdzielą spójną architekturę Manifest V3 z niemal identycznymi uprawnieniami. Posiadały również podobne zrzuty ekranu.

Choć wszystkie rozszerzenia dostarczają deklarowane funkcje, takie jak pobieranie filmów z TikToka, pod spodem robią trochę więcej…

Wykorzystują one dynamicznie pobieraną konfigurację, która pozwala omijać proces review (choć i on sam w sobie nie jest doskonały) w przeglądarkowych marketplace’ach. Umożliwia bowiem wprowadzenie zmian w zachowaniu wtyczki, które bez potrzeby publikowania nowej wersji zostają natychmiast wdrożone u użytkowników.

Ponadto zwiększa to odporność na działania administratorów marketplace’ów – gdy jedno rozszerzenie zostaje wykryte lub usunięte, inne pozostają aktywne. Co ciekawe, część z tych wtyczek w Chrome Web Store miało oznaczenie “Featured”, co tylko zwiększało zaufanie użytkowników i usypiało czujność. Plakietkę taką przypisuje się wtyczkom, które spełniają wytyczne Google, używają najnowszych wersji API i szanujących prywatność użytkowników. Rozszerzenia te są weryfikowane manualnie przez zespół Chrome.

W zależności od wtyczki, konfiguracja pobierana jest z jednego z serwerów:

• https[:]//user[.]trafficreqort[.]com/data.json
• https[:]//report[.]browsercheckdata[.]com/info.json
• https[:]//check[.]qippin[.]com/config.json
• https[:]//help[.]virtualbrowserer[.]com/rest.json

Gdyby to nie wzbudziło wystarczających wątpliwości, wtyczki dodatkowo zbierają szczegółowe dane telemetryczne o swoich użytkownikach – m.in. jak często używają narzędzia, z jaką treścią wchodzą w interakcję, jaki język i strefę czasową mają na urządzeniu i jaki wysyła ono nagłówek user agent. Oprócz tego rejestrowany jest też stan baterii urządzenia. Po co wtyczce do pobierania filmów z TikToka takie dane?

Rozszerzenia te już teraz realizują fingerprinting i umożliwiają profilowanie użytkowników. Zbierają informacje o wzorcach użycia, pobranej treści, cechach urządzenia. Na podstawie takich danych można śledzić użytkowników między sesjami.

O tym, co może stać się z pozornie “niewinnymi” wtyczkami, pisaliśmy tutaj. W skrócie: wysyłanie pełnej historii przeglądania/wyszukiwania do atakujących, wstrzykiwanie linków afiliacyjnych, czy przechwytywanie wyszukiwań.

Warto pamiętać, że zarówno estetyczne zrzuty ekranów i klarowny opis, jak i plakietka “Featured” nie gwarantuje bezpieczeństwa. Wtyczki (nie tylko w przeglądarkach) potrafią też zmieniać właścicieli – mogą być sprzedawane, a nawet przejmowane. Wszystko w celu chociażby wdrożenia złośliwej aktualizacji.

Użytkownikom rekomendujemy więc ograniczanie liczby zainstalowanych rozszerzeń do minimum. Jeśli z któregoś nie korzystamy lub przestało działać – najlepiej je odinstalować.

IOC

Identyfikatory wtyczek:

• injnjbcogjhcjhnhcbmlahgikemedbko
• ehdkeonoccndeaggbnolijnmmeohkbpf
• pfpijacnpangmkfdpgodlbokpkhpkeka
• cfbgdmiobbicgjnaegnenlcgbdabkcli
• mpalaahimeigibehbocnjipjfakekfia
• kkhjihaeddnhknninbekkhaklnailngh
• kbifpojhlkdoidmndacedmkbjopeekgl
• jacilgchggenbmgbfnehcegalhlgpnhf
• oaceepljpkcbcgccnmlepeofkhplkbih
• ilcjgmjecbhpgpipmkfkibjopafpbcag
• kmobjdioiclamniofdnngmafbhgcniok
• cgnbfcoeopaehocfdnkkjecibafichje

Domeny:

• trafficreqort[.]com
• browsercheckdata[.]com
• qippin[.]com
• virtualbrowserer[.]com

Adresy e-mail:

• chrisungeran@gmail.com
• jacksonlothar@gmail.com
• donaldstieller@gmail.com
• stevestanding028@gmail.com
• claushertzog@gmail.com
• rufolast@gmail.com
• freyttags@gmail.com
• jurgendorff@gmail.com

Źródło: layerxsecurity.com

~Tymoteusz Jóźwiak