09.04.2015 | 20:23

Adam Haertle

Popularna wtyczka Chrome od prawie roku szpiegowała > 1 mln użytkowników

Wtyczka do Google Chrome, służąca do wykonywania zrzutów ekranu i pobrana ponad 1,2 mln razy regularnie wysyłała do swojego serwera szczegółowe informacje o każdej stronie otwartej przez użytkownika.

Badacze z firmy ScrapeSentry odkryli, że wtyczka Webpage Screenshot przesyła do swojego serwera informacje o odwiedzanych stronach, w tym także ich tytuły, przez co w obce ręce trafiają takie dane jak adresy email, tematy wiadomości poczty czy też wewnętrzne dane firmowe. Do tego wtyczka próbowała sprytnie ukryć fakt posiadania takich funkcji. Co ciekawe na takie działanie zgadzali się użytkownicy, którzy nie czytali umowy licencyjnej.

Bomba z opóźnionym zapłonem

Wszystkie wtyczki znajdujące się w sklepie Google Chrome powinny przechodzić weryfikację pod kątem złośliwej zawartości. Nie wiemy, jak wygląda proces weryfikacji, ale najwyraźniej twórcy złośliwej wtyczki znaleźli w nim lukę. Wtyczka po instalacji przez 7 dni nie przejawiała żadnego niebezpiecznego zachowania. Po tym czasie odpowiednie warunki w pliku konfiguracyjnym pobieranym z sieci sprawiały, że wczytywała inny zestaw poleceń i zaczynała swoją szpiegowską działalność.

Strona wtyczki pokazywała 3 razy więcej pobrań niż sklep Google

Strona wtyczki pokazywała 3 razy więcej pobrań niż sklep Google

Analiza kodu źródłowego wtyczki oraz obserwacja jej działania pozwoliły ustalić, że do serwera swojego twórcy przesyłała takie informacje jak pełną ścieżkę otwartego adresu URL, pełen tytuł zakładki, informację o kraju użytkownika oraz jego unikatowy identyfikator. Ze względu na fakt, że wiele stron WWW w tytule umieszcza istotne dane, w ten sposób nieświadomy użytkownik mógł ujawnić wiele informacji o swojej tożsamości, pracy czy życiu prywatnym. Wystarczyło wejść na stronę swojej poczty elektronicznej, by poinformować twórców wtyczki o swoim adresie email, liczbie nieprzeczytanych wiadomości czy tematach wiadomości otwieranych w nowym oknie.

Wtyczka dodatkowo próbowała ukryć swoje działanie poprzez zaciemnianie wysyłanych informacji. Algorytm zaciemniania zapewniał, że nie odkryje go żaden mechanizm automatycznej analizy – przesyłane dane były dwa razy kodowane w base64, następnie ciąg był odwracany a na jego początku była doklejana litera a. Dane były wysłane do serwera WWW znajdującego się w USA i umieszczane w parametrze żądania POST.

Nie ma pewności, kto stworzył wtyczkę. Badacze z innej firmy, Heimdal Security (którzy twierdzą, że również odkryli złośliwe działanie wtyczki, choć o dzień później jeśli wierzyć znacznikom czasu na stronach internetowych) zwrócili uwagę, że domena w której znajduje się serwer wtyczki zarejestrowana jest na obywatela Izraela.

Użytkownicy na wszystko się zgodzili, choć nie czytali

Dopiero wnikliwa lektura warunków licencji wtyczki pokazuje, że każdy z jej użytkowników, który te warunki zaakceptował, zgodził się że jego dane osobowe i dotyczące zachowania będą zbierane, analizowane i sprzedawane. Co prawda takie zachowanie wtyczki i zawarcie tej informacji jedynie w umowie licencyjnej mogły sprawić, że wtyczka szybko zniknęła ze sklepu Google, ale warto pochylić się nad jeszcze jedną informacją. Badacze F-Secure zwrócili uwagę, ze link do treści umowy licencyjnej prowadził przez skracacz linków, który umożliwia weryfikację, ile osób w niego kliknęło.

Fragment umowy, w której użytkownik oddaje obie nerki

Fragment umowy, w której użytkownik oddaje obie nerki

Okazuje się, że z co najmniej  1 224 811 użytkowników, którzy zainstalowali wtyczkę, w link do umowy licencyjnej kliknęło w najlepszym przypadku 146. Jedna na 8389 osób. Oczywiście nie oznacza to, ze osoby te przeczytały umowę – ten odsetek pewnie jest jeszcze niższy. Smutna ta statystyka.

Powrót

Komentarze

  • 2015.04.09 20:43 steppe

    Ciekawe, ile jest jeszcze takich…

    Odpowiedz
    • 2015.04.10 08:07 Adam

      …wtyczek, czy osób nie czytających umów pisanych prawniczym językiem po angielsku…? ;>

      Odpowiedz
  • 2015.04.09 20:54 Xcerf

    Ojej, to chyba była pierwsza wtyczka, której używałem…

    Co prawda od co najmniej roku jest wyłączona i nieużywana przeze mnie, jednak pamiętam, że wcześniej była aktywna.

    Odpowiedz
  • 2015.04.09 21:12 vertoi

    dobrze, że korzystam z Nimbusa :P

    Odpowiedz
  • 2015.04.09 21:24 tomek

    a gdzie zapomniany [print screen] + mspaint + [ctrl+v] ;)

    Odpowiedz
    • 2015.04.09 21:34 Monter

      Ludzie są zbyt leniwi żeby używać skrótów klawiszowych i wklejania do byle programiku obsługującego grafikę, wolą instalować specjalne programy do tego. Pewnie połowa użytkowników komputera nie ma pojęcia, iż można tym sposobem (prtScr) zrobić także zrzut tylko aktywnego okna – wystarczy wcześniej wcisnąć i przytrzymać lewy Alt…

      Odpowiedz
      • 2015.04.09 21:55 andraf

        Podejrzewam, że takich wtyczek używa się w celu zrobienia SS całej strony, w tym przypadku robienie tego ręcznie może być uciążliwe. Firefox jest o tyle wygodny, że umożliwia wykonanie takiego zrzutu bez żadnych dodatków (shift+f2 => screenshot –fullpage)

        Odpowiedz
        • 2015.04.09 22:24 Proximus

          O, świetny tip @andraf, dzięki! Wcześniej jak musiałem robić taki screen to doklejałem kolejno w paintcie, co przy kilku stronach było mega uciążliwe.

          Odpowiedz
        • 2015.04.09 23:23 socrtp

          @andraf dzięki wielkie za hinta. Nie znałem tej funkcjonalności Firefoksa.
          Do Screenshotów używałem dotychczas różnych wtyczek, aktualnie Abduction, która w dodatku nie zawsze chce działać pod Linuksem.

          Odpowiedz
        • 2015.04.10 00:00 Kamil

          @andraf Dzięki za pro-tip ;)

          Odpowiedz
      • 2015.04.09 21:58 swarm

        A jak zrobić zrzut strony www dłuższej niż jeden ekran print screenem?

        Odpowiedz
    • 2015.04.09 21:42 theon

      Wygoda i niewiedza Panie.

      Odpowiedz
  • 2015.04.10 07:26 rafal

    można uzyć do tego celu też dropboxa, od razu mamy zapis w chmurze

    Odpowiedz
  • 2015.04.10 09:33 FxJ

    Mam 2 podobne wtyczki od dawna a o tej nawet nie wiedziałem :-/

    Odpowiedz
  • 2015.04.10 17:35 sn00p

    Przecież chrome samo w sobie jest już szpiegiem.Więc chyba osobom go używającym nie zależy na prywatności?

    Odpowiedz
  • 2015.04.10 19:45 linux

    tak to jest jak sie ma windowsa i trzeba kombinowac, pod linuxem przycisk PRTSCR i plik ze zrzutem jest na dysku

    Odpowiedz
    • 2015.04.10 20:14 meh

      Na win8 printscreen sam zapisuje w Obrazach.

      Odpowiedz
  • 2015.04.10 19:54 Adrian

    Google już zablokował wtyczkę. W moim Chrom wtyczka została wyłączona z adnotacją „To rozszerzenie narusza zasady Chrome Web Store”.

    Odpowiedz
  • 2015.04.10 21:21 Jacek

    Zastanawiam sie po co komu dodatkowa aplikacja / plugin do screenshotow jesli kazdy system lacznie z telefonami ma odpowiedni skrot klawiaturowy.

    Odpowiedz
    • 2015.04.12 11:23 sn00p

      To podaj mi skrót dzięki któremu zrzucę CAŁĄ stronę internetową, a nie tylko jej widoczną na monitorze część.

      Odpowiedz
  • 2015.04.12 15:44 Adam

    @Adam Z3S. Poprzedni tytuł był bardziej chwytliwy… ;>

    Odpowiedz
    • 2015.04.12 17:53 Adam

      Jaka szybka reakcja… :O ;)

      Odpowiedz
  • 2016.03.04 16:53 Ufffffoludek

    Ciekawe kto i po co pisał ten artykuł. Cytaty. „Badacze z firmy ScrapeSentry odkryli,” „Badacze z innej firmy, Heimdal Security (którzy twierdzą, że również odkryli złośliwe działanie wtyczki” Ale się namęczyli ci BADACZE. :) :) :) A wystarczyło przeczytać umowę licencyjną :) Cytat. „Co ciekawe na takie działanie zgadzali się użytkownicy, którzy nie czytali umowy licencyjnej.”
    Czyli w umowie licencyjnej jest wzmianka odnośnie przesyłania danych, ale ci BADACZE nie czytają tych umów i muszą pokazać jacy to oni są znawcami.

    Odpowiedz

Zostaw odpowiedź do socrtp

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Popularna wtyczka Chrome od prawie roku szpiegowała > 1 mln użytkowników

Komentarze