Les chercheurs de McAfee ont découvert plusieurs extensions Google Chrome qui volent l’activité de navigation. Ces modules complémentaires ont été téléchargés plus d’un million de fois.
Comme le rapporte Bleeping Computer, les analystes des menaces de l’entreprise de sécurité numérique ont découvert un total de cinq extensions malveillantes.
Avec plus de 1,4 million de téléchargements, ces extensions ont incité un nombre sans précédent de personnes à les ajouter à leur navigateur. Les extensions en question qui ont été repérées jusqu’à présent sont les suivantes :
- Netflix Party (mmnbenehknklpbendgmgngeaignppnbe)—800 000 téléchargements
- Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn)—300 000 téléchargements
- Full Page Screenshot Capture—Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp)—200v000 téléchargements
- FlipShope — Price Tracker Extension (adikhbfjdbjkhelbdnffogkobkekkkej) – 80 000 téléchargements
- AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20 000 téléchargements
Une fois que l’une des extensions énumérées ci-dessus a été installée sur Chrome, elle peut ensuite détecter et observer lorsque l’utilisateur ouvre un site de commerce électronique sur son navigateur. Le cookie généré par le visiteur est modifié de manière à faire croire qu’il est arrivé sur le site par un lien de référence. En fin de compte, la personne qui se cache derrière les extensions peut alors recevoir une commission d’affiliation si la cible achète quelque chose sur ces sites.
Toutes les extensions offrent effectivement les fonctionnalités indiquées sur les pages de la boutique en ligne de Chrome. Si l’on ajoute à cela le fait qu’elles sont utilisées par des dizaines ou des centaines de milliers d’utilisateurs, on peut être convaincu qu’elles peuvent être téléchargées en toute sécurité si elles sont utilisées par un si grand nombre de personnes. Si les extensions Netflix Party ont été retirées, les extensions de capture d’écran et de suivi des prix sont toujours disponibles sur la boutique en ligne de Chrome.
Une faille parfaitement trouvée
En ce qui concerne le fonctionnement des extensions, McAfee a expliqué en détail comment le manifeste de l’application Web — un élément qui contrôle le fonctionnement des extensions dans le navigateur — exécute un script multi-fonctionnel, permettant aux données de navigation d’être envoyées directement aux attaquants par un certain domaine qu’ils ont enregistré.
Lorsqu’un utilisateur visite une nouvelle URL, ses données de navigation sont envoyées par le biais de requêtes POST. Ces informations comprennent l’adresse du site Web elle-même (sous forme base64), l’identifiant de l’utilisateur, la localisation du dispositif (pays, ville et code postal) et une URL de référence codée.
Pour éviter d’être détectées, certaines extensions n’activent leur activité de suivi malveillante que 15 jours après avoir été installées par la cible.
