Google Chrome : 295 extensions compromises depuis le magasin en ligne ! (80 millions d'utilisateurs concernés...)

Outre le Play Store, de front, Google doit mener une bataille sécuritaire, également, pour le store en ligne de son navigateur Chrome... une problématique qui doit commencer à peser bien lourd dans les rangs du géant face aux innombrables rafales essuyées au quotidien, en terme de charge malveillante. Malgré des tentatives de renforcement - via, notamment, la vérification des extensions - il arrive que certaines passent au travers ; beaucoup, même, selon un rapport inquiétant de AdGuard.

 

(Source : AdGuard)

 

Dans un billet datant du 4 Août, l'équipe sécuritaire relate ainsi une découverte assez surréaliste : bon nombre d'extensions se faisant passer pour des bloqueurs de publicité dupent l'utilisateur ; 295, selon les mises en lumière des chercheurs, ce qui correspondraient à pas moins de 80 millions d'utilisateurs impactés, via un téléchargement desdits extensions.

Trois méthode ont été dégagé pour cette diffusion publicitaire illégitime :

 

  • Injection de code : peu de temps (en heure ou en jour, parfois) après l'installation de l'extension sur le terminal-cible (ou qui a téléchargé l'extension), chaque navigation sur le Web devient, en quelque sorte, une arme à retardement, via un onglet (dès l'ouverture de ce dernier par l'utilisateur...) dissimulant un script. Suivant la page visitée (surtout s'il s'agit d'un moteur de recherche type Google ou Bing, est-il souligné), un chargement d'image(s) se produit en appelant un domaine spécifique (lh3.googleusrcontent.com, qui n'est, bien sûr pas un domaine officiellement affilié à Google !). L'image recèle du code ou une charge malveillante pour intégrer des annonces publicitaires : il s'agit de la steganographie (à ne pas confondre avec la - sténographie - prise de notes qui n'a rien, en théorie, de diabolique), une méthode visant à dissimuler un message ou un code derrière une image lambda qui servira d'hôte au véritable message ;
  • Cookie stuffing : toujours après l'installation d'une extension malveillante (6 seulement seraient concernés, ce qui représenterait, tout de même, "un peu plus de 1,5 million d'utilisateurs"), une commande (distante) depuis un serveur chargera des affiliations douteuses afin d'injecter ces publicités. Suivant le type de site où se trouve la victime, la personne ayant généré l'extension en question recevra une commission. Le groupe sécuritaire se désole à juste titre : en 2019, une telle vulnérabilité avait été démontré à Google... qui n'a, semble t-il, pas tenu compte du PoC de l'époque ;
  • "Comment se fait-il que les développeurs légitimes souffrent du processus d'examen trop compliqué, et en même temps, le problème continue de montrer son horrible visage à maintes reprises ?", s'offusque les chercheurs, en évoquant le spamming. Si ce dernier n'est pas directement une menace, il permet, rien que pour la partie e-boutique de Chrome, d'afficher toute une kyrielle de doublons ou clones d'extensions. Elles utilisent le code issu de "Google Tag Manager" (ce qui facilite les variations du genre...) et empruntent très souvent le code-source de l'extension légitime, outre une description assez brève.

 

AdGuard ne cache pas son désarroi : avec une telle prolifération insécuritaire, malgré un rattachement de la branche Chrome au bug bounty du géant en Janvier 2020, il faudra plus de réactivité pour cette partie du navigateur qui laisse à désirer. Fait étrange mais vrai, aucune branche d'avis ou de commentaires n'existe pour que les développeurs et spécialistes puissent discuter sur une extension malveillante donnée. Il est, également, proposé de faire "confirmer certaines informations personnelles de base" telles que le nom juridique (raison sociale) et / ou le siège de l'entreprise ou établissement. Faute de mieux pour l'heure, concernant l'utilisateur, il faudra redoubler de vigilance en évitant de télécharger une extension qui ne proviendrait pas de l'éditeur et / ou qui semblerait douteuse (qui reprendrait le nom de l'éditeur mais dont certains aspects évoqués ci-dessus feraient échos)... A veiller !

 

Source : Blog AdGuard - 4 Août 2020 - Google Chrome : 295 extensions frauduleuses qui injectent des annonces publicitaires et permettent d'en dégager un revenu, à l'insu de l'utilisateur.