עשרות תוספי Chrome בעייתיים התגלו בחנות של גוגל
תוספים שנראו תמימים דרשו גישה למידע רגיש, פעלו תחת קוד מוסתר וצברו יותר מ-4 מיליון התקנות. חלקם אפילו זכו לתווית "Featured" הרשמית
גוגל כרום, תמונה: Dreamstime
קבוצה של תוספי Chrome שמבצעים פעולות חריגות על מחשבים ודפדפנים של משתמשים ברחבי העולם נחשפה בבדיקת אבטחה לאחרונה. התוספים לא הופיעו בחיפוש הרגיל ב-Chrome Web Store, אבל הצליחה לצבור יחד יותר מ-4 מיליון התקנות, כשחלק מן התוספים אף נשאו את תג ה-"Featured" הרשמי של גוגל, המיועד לתוספים שעברו בדיקות איכות. כך עולה מדיווח של אתר Ars Technica, בהתבסס על מחקר שביצעה חברת Secure Annex.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
הבדיקה העלתה כי התוספים דרשו גישה רחבה להרשאות רגישות: ניהול לשוניות, גישה לעוגיות, יירוט ושינוי תעבורת רשת, הזרקת סקריפטים לעמודים ועוד. הרשאות מסוג זה מאפשרות שליטה כמעט מלאה בפעילות הגלישה של המשתמשים ומתאימות בעיקר לכלים אמינים שזקוקים להן לצורך תפקודם. במקרה של התוספים שנחשפו, רובם לא הציגו פונקציונליות שמצדיקה את רמות הגישה הללו, מה שמעלה חשש לשימוש לרעה בפרטים האישיים ובתעבורת הדפדפן. את הבדיקה הובילה כאמור חברת Secure Annex, שהתמקדה באיתור תוספים בעלי הרשאות רגישות והתנהגות חריגה. את הרשימה המלאה פרסמה החברה בפוסט המפרט על התוספים.
הסתרה מכוונת וקידום רשמי
בדיקה מעמיקה של קוד התוספים גילתה כי הם כוללים מנגנוני הסתרה (obfuscation) שנועדו להקשות על איתור וניתוח הפעילות הפנימית שלהם. כמעט כל התוספים לא היו זמינים באופן פומבי דרך חיפוש חנות Chrome, והיו נגישים רק באמצעות קישור ישיר. למרות זאת, עשרה מהתוספים נשאו את תווית ה-"Featured" — תואר שמוענק בדרך כלל לתוספים שנבדקו ואושרו לפי סטנדרטים טכניים וחוויית משתמש מחמירים. הממצאים מעלים שאלות קשות על מנגנוני הבדיקה והאימות של גוגל.
אחד מהתוספים שנחשפו, Fire Shield Extension Protection, הוצג ככלי לאיתור תוספים מסוכנים — אך בפועל פעל באופן שקט, התחבר לשרתים חיצוניים והעביר מידע רגיש כמו אתרי גלישה וגודל מסך. הבדיקות העלו גם כי לתוספים הייתה אפשרות לשנות התנהגות באופן דינמי, דרך שליטה מרחוק בשרתים חיצוניים, מבלי שמידע זה ייחשף למשתמש.
להיזהר ולא לסמוך רק על תגי איכות
המקרה הנוכחי מדגיש שוב את החשיבות של בחירה זהירה בתוספים לדפדפן: התקינו תוספים רק ממפתחים מוכרים, בדקו ביקורות עדכניות, העניקו הרשאות רק כשאין ברירה אמיתית ושימו לב כי תג איכות כמו "Featured" הוא לא ערובה לאבטחת מידע — ומומלץ להפעיל שיקול דעת עצמאי לפני התקנה. למשתמשים שכבר התקינו אחד מהתוספים החשודים — מומלץ להסירם באופן מיידי ולבחון את הגדרות האבטחה והפרטיות בדפדפן.
