Google usunęło ze sklepu Chrome 49 rozszerzeń, które wykradały dane i dane uwierzytelniające użytkowników. Wiele z nich ucierpiało również z powodu kradzieży kryptowalut
Wyglądały one jak legalne rozszerzenia Chrome do zarządzania portfelem kryptowalutowym, ale w rzeczywistości wykradały jedynie dane dostępowe do samego portfela, a następnie, w niektórych przypadkach, również wirtualną walutę. W związku z tym Google usunęło w sumie 49 takich rozszerzeń.
Odkrycie tych złośliwych rozszerzeń nie zostało dokonane przez Google, ale, jak to często bywa, przez badacza z firmy zajmującej się bezpieczeństwem komputerowym. Informacja ta została przekazana gigantowi z Mountain View, który po upewnieniu się, że rozszerzenia do Chrome'a są faktycznie niebezpieczne, usunął je ze sklepu. Badaczem, o którym mowa jest Harry Denley, dyrektor MyCripto, który w rozmowie z ZDNet wyjaśnił również, jak działały usunięte rozszerzenia. I jest to bardzo osobliwy i ciekawy sposób działania.
Jak działało 49 niebezpiecznych rozszerzeń Chrome
49 odkrytych i usuniętych ze sklepu Google rozszerzeń nie robiło nic więcej niż naśladowało legalne rozszerzenia z aplikacji kryptowalutowych (tj. aplikacji do zarządzania portfelem kryptowalut), takich jak Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus i KeepKey. I odwzorowali je naprawdę dobrze, wyświetlając interfejs praktycznie identyczny z oryginalnym. Tyle tylko, że oprócz umożliwienia użytkownikowi zarządzania swoimi kryptowalutami, przystępowały one również do wysyłania danych dostępowych do portfela do twórcy rozszerzenia.
Według Denleya, wszystkie rozszerzenia zostały opracowane przez tę samą osobę lub grupę osób, najprawdopodobniej z siedzibą w Rosji. Jeszcze ciekawsze jest to, że instalacja jednego z tych rozszerzeń nie powodowała automatycznej utraty wirtualnej waluty: twórcy najwyraźniej przystąpili do ręcznej kradzieży kryptowaluty, tylko z największych portfeli. Ale niektóre kradzieże, według Denley'a, z pewnością miały miejsce.
Będzie ich więcej
Według Denley'a, co więcej, jest prawie pewne, że istnieją jeszcze inne podobne rozszerzenia do odkrycia, ponieważ deweloper (lub grupa deweloperów), który stworzył te 49 rozszerzeń, wydaje się być w stanie działać na dość dużą skalę. Dlatego Denley wzywa użytkowników do zgłaszania podejrzanych rozszerzeń do MyCripto, które następnie sprawdzą je i zarejestrują w CryptoScamDB, bazie danych wielu innych niebezpiecznych rozszerzeń i aplikacji dla handlarzy kryptowalutami.