Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Скачали видео — отдали данные. «Полезные» расширения браузеров внезапно оказались «с гнильцой»

leer en español

LayerX TikTok Chrome Microsoft Edge расширения слежка утечка данных
Скачали видео — отдали данные. «Полезные» расширения браузеров внезапно оказались «с гнильцой»
LayerX TikTok Chrome Microsoft Edge расширения слежка утечка данных

Рассказываем о цифровой западне, в которую угодило уже сотни тысяч пользователей.

image

Популярные расширения для скачивания видео из TikTok оказались частью скрытой схемы слежки. За удобной функцией загрузки роликов скрывался сбор данных и отслеживание активности, а сама кампания затронула уже более 130 тысяч пользователей.

Команда LayerX обнаружила не менее двенадцати браузерных расширений, доступных в магазинах Chrome и Microsoft Edge, которые маскировались под инструменты для загрузки видео. Все варианты имели общий код и отличались лишь незначительными изменениями или новым оформлением. Такая повторяемость указывает на длительную и организованную деятельность одной группы.

Расширения действительно выполняли заявленные функции — позволяли скачивать видео, часто без водяных знаков. Но параллельно они собирали подробную информацию о поведении пользователей: какие ролики просматриваются, как часто используется инструмент, а также технические параметры устройства, включая язык, часовой пояс и даже уровень заряда батареи. Такой набор данных позволяет формировать уникальный цифровой отпечаток.

Ключевой элемент схемы — удалённая конфигурация. После установки расширение подключалось к серверам, подконтрольным операторам, и получало инструкции. Такой механизм позволял менять поведение программы в любой момент, обходя проверку магазинов. По данным LayerX, вредоносные функции часто появлялись лишь через 6–12 месяцев после публикации, когда расширение уже набирало аудиторию и вызывало доверие.

Многие из этих расширений даже получали отметку «Featured» в официальных магазинах, что дополнительно снижало подозрения и увеличивало число установок. При удалении одного варианта быстро появлялись новые копии с тем же функционалом и визуальным оформлением.

Инфраструктура кампании строилась на внешних серверах с конфигурационными файлами. Некоторые домены маскировались под легитимные адреса с небольшими искажениями в названии, что усложняло обнаружение. Несмотря на отсутствие прямых доказательств, сходство кода и инфраструктуры указывает на одного оператора или тесно связанную группу.

Такая схема показывает сдвиг в подходах злоумышленников. Вместо явного вредоносного кода используется легитимный инструмент, который со временем превращается в средство сбора данных. Основная опасность связана не столько с текущими функциями, сколько с возможностью незаметно добавить новые — от перехвата трафика до более масштабных атак.

Случай подчёркивает слабое место в защите браузерных расширений. Проверка при публикации не учитывает изменения поведения после установки, что делает подобные кампании устойчивыми и трудноуловимыми.