Скрытый шпион на 1,6 млн пользователей. Популярное браузерное расширение тайно собирало историю посещений

leer en español

13641
Скрытый шпион на 1,6 млн пользователей. Популярное браузерное расширение тайно собирало историю посещений

Системы безопасности цифровых площадок годами не замечали вредоносный код.

image

Популярное расширение для браузеров может годами сохранять репутацию безопасного инструмента, пока внутри уже лежит готовый механизм слежения. Google и Microsoft удалили ModHeader из магазинов Chrome и Edge после обнаружения скрытого сборщика истории посещений в официальной версии расширения с примерно 1,6 млн установок.

ModHeader позволяет изменять HTTP-заголовки, которыми браузер и сайт обмениваются при загрузке страниц. Инструмент используют разработчики и специалисты по тестированию, чтобы подменять параметры запросов, проверять работу сайтов и добавлять токены авторизации без изменения программного кода.

Специалисты британской компании Stripe OLT проверили код по подписи Chrome Web Store и подтвердили, что подозрительный модуль входил в подлинную сборку, а не в подделку. Microsoft убрала расширение из Edge 3 июля, Google удалила версию для Chrome 10 июля.

ModHeader продолжал выполнять заявленные функции, но фоновый код содержал отдельный механизм сбора данных. При запуске расширение формировало отпечаток устройства, извлекало домены открытых страниц, шифровало их и могло хранить до 1000 адресов. Раз в сутки список должен был отправляться на api.stanfordstudies[.]com вместе с отпечатком устройства, после чего локальная копия удалялась.

Сборщик оставался неактивным, поскольку запускался только для браузеров из внутреннего списка, а список поставлялся пустым. Доказательств сбора или передачи истории посещений специалисты не нашли. Однако для включения механизма разработчику хватило бы обычного обновления без запроса новых разрешений и действий со стороны пользователя.

Часть телеметрии уже работала. При установке, обновлении и удалении ModHeader отправлял на extensions-hub[.]com сведения о продукте, версии и браузере. Скрипт на каждой странице также сохранял в открытом виде метаданные запросов. Автоматические сервисы при этом оценивали связанный с расширением риск как низкий, поскольку передача истории была отключена, данные шифровались, а код скрывался внутри легитимного проекта.

Пользователям рекомендуют удалить ModHeader из Chrome и Edge и проверить, не вернёт ли расширение синхронизация профиля или корпоративная политика. Тем, кто вводил через ModHeader API-ключи, токены доступа или сеансовые файлы cookie, следует заменить их. Администраторам советуют блокировать stanfordstudies[.]com и extensions-hub[.]com, а также проверить журналы на обращения к этим доменам и идентификатор расширения.