Phát hiện nhiều tiện ích mở rộng độc hại trên cửa hàng trực tuyến của Chrome

Ảnh minh họa

Phần lớn các tiện ích bổ sung này ngụy trang thành các tính năng phổ biến như: công cụ chọn màu, VPN, tăng âm lượng và bàn phím biểu tượng cảm xúc,… Các nhà nghiên cứu tại Koi Security, một công ty cung cấp nền tảng cho phần mềm bảo mật tự cung cấp đã phát hiện ra các tiện ích mở rộng độc hại trong cửa hàng trực tuyến của Chrome và đã báo cáo với Google. Một số tiện ích mở rộng hiện không còn nữa nhưng nhiều tiện ích vẫn chưa được gỡ bỏ.

Nhiều tiện ích mở rộng trong số đó đã được xác minh, có hàng trăm đánh giá tích cực và được giới thiệu nổi bật trên cửa hàng trực tuyến của Chrome. Điều này gây hiểu lầm cho người dùng về tính an toàn của chúng.

Theo khuyến cáo, người dùng nên kiểm tra các tiện ích bổ sung sau đây trong trình duyệt Chrome và xóa chúng càng sớm càng tốt: Color Picker, Eyedropper; Emoji keyboard online; Free Weather Forecast; Video Speed Controller; Unlock Discord; Dark Theme; Volume Max; Unblock TikTok; Unlock YouTube VPN; Unlock TikTok; Weather.

Các nhà nghiên cứu cho rằng, chức năng độc hại ẩn trong dịch vụ background của từng tiện ích bằng cách sử dụng Chrome Extension API, trình lắng nghe sẽ được kích hoạt mỗi khi người dùng điều hướng đến một trang web mới. Tin tặc từ đây có thể nắm bắt URL của các trang đã truy cập của nạn nhân và gửi thông tin đến máy chủ từ xa cùng với ID duy nhất cho mỗi người dùng.

Máy chủ này có thể phản hồi bằng các URL chuyển hướng, kiểm soát hoạt động duyệt web của người dùng và có khả năng điều hướng họ đến các trang đích đến không an toàn, có thể là nguyên nhân gây ra các cuộc tấn công mạng. Mặc dù khả năng này là có, nhưng cần lưu ý rằng Koi Security chưa phát hiện thấy bất kỳ chuyển hướng độc hại nào trong quá trình thử nghiệm.

Bên cạnh đó, mã độc không có trong các phiên bản đầu tiên của tiện ích mở rộng, mà được chèn vào sau đó thông qua các bản cập nhật. Hệ thống cập nhật tự động của Google sẽ âm thầm triển khai các phiên bản mới nhất cho người dùng mà không cần bất kỳ sự chấp thuận hoặc tương tác nào. Vì một số tiện ích mở rộng này đã an toàn trong nhiều năm nên có khả năng chúng đã bị các tác nhân bên ngoài xâm phạm và tiêm nhiễm mã độc.

Các chuyên gia an ninh mạng khuyến cáo người dùng cần xóa ngay lập tức mọi tiện ích mở rộng được liệt kê, xóa dữ liệu duyệt web để loại bỏ mọi mã định danh theo dõi, kiểm tra hệ thống để tìm phần mềm độc hại và theo dõi các tài khoản để phát hiện hoạt động đáng ngờ.