Các nhà phân tích bảo mật tại McAfee đã phát hiện ra 5 extension của Google Chrome theo dõi và thu thập dữ liệu người dùng. Điều đáng chú ý là các extension này khá phổ biến khi đạt đến hơn 1,4 triệu lượt tải.
Chúng bao gồm 2 extension giúp người dùng xem phim trên Netflix cùng nhau (Netflix Party - 800 ngàn lượt tải và Nextflix Party 2 - 300 ngàn lượt tải), 1 extension có chức năng chụp màn hình toàn trang là Full Page Screenshot Capture - Screenshotting với 200 ngàn lượt tải, 2 extension còn lại là công cụ theo dõi giá và săn sale gồm FlipShope - Price Tracker Extension có 80 ngàn lượt tải và AutoBuy Flash Sales có 20 ngàn lượt tải.
Các extension này đều hoạt động với đầy đủ chức năng như quảng cáo, từ đó khiến người dùng tin tưởng và khó phát hiện ra hoạt động của mã độc. Dù không tác động trực tiếp nhưng người dùng bị đặt trước rủi ro rò rỉ thông tin cá nhân.
Cả 5 extension đều có hành vi tương tự nhau. Theo phát hiện của McAfee thì chúng sử dụng một file để khai báo chức năng của tiện ích mở rộng trên hệ thống là manifest.json để tải một đoạn mã đa chức năng là Bo.js, từ đó gởi dữ liệu trình duyệt đến một tên miền là langhort[.]com. Dữ liệu được gởi đi thông qua một yêu cầu POST mỗi khi người dùng mở một đường dẫn URL mới và thông tin được gởi bao gồm đường dẫn URL dưới dạng base64, ID của người dùng, vị trí của thiết bị gồm quốc gia, thành phố, mã zip và một đường dẫn URL referral được mã hóa. Đoạn mã Bo.js được các extension sử dụng để chèn URL referral hay thay đổi cookie mỗi khi người dùng mở trang web trùng với trang web có trong danh sách liên kết kiếm tiền của tác giả extension. ể tránh bị phát hiện thì một số extension sẽ không kích hoạt cơ chế thu thập dữ liệu ngay sau khi người dùng cài đặt mà sẽ tạm hoãn 15 ngày.
*Trước đó mình từng giới thiệu một extension để anh em có thể xem Netflix cùng nhau, có tên Netflix Party và hiện đã đổi tên thành Teleparty do netflixparty.com phát hành. Các extension cùng tên có vẻ như nhái lại Netflix Party. Trong khi đó, extension Full Page Screenshot Capture - Screenshotting thì nhái lại của GoFullPage. Đến thời điểm này thì cả 5 extension nói trên đã bị gỡ khỏi Chrome Web Store.
Theo: Bleeping Computer
Chúng bao gồm 2 extension giúp người dùng xem phim trên Netflix cùng nhau (Netflix Party - 800 ngàn lượt tải và Nextflix Party 2 - 300 ngàn lượt tải), 1 extension có chức năng chụp màn hình toàn trang là Full Page Screenshot Capture - Screenshotting với 200 ngàn lượt tải, 2 extension còn lại là công cụ theo dõi giá và săn sale gồm FlipShope - Price Tracker Extension có 80 ngàn lượt tải và AutoBuy Flash Sales có 20 ngàn lượt tải.
Các extension này đều hoạt động với đầy đủ chức năng như quảng cáo, từ đó khiến người dùng tin tưởng và khó phát hiện ra hoạt động của mã độc. Dù không tác động trực tiếp nhưng người dùng bị đặt trước rủi ro rò rỉ thông tin cá nhân.
Cả 5 extension đều có hành vi tương tự nhau. Theo phát hiện của McAfee thì chúng sử dụng một file để khai báo chức năng của tiện ích mở rộng trên hệ thống là manifest.json để tải một đoạn mã đa chức năng là Bo.js, từ đó gởi dữ liệu trình duyệt đến một tên miền là langhort[.]com. Dữ liệu được gởi đi thông qua một yêu cầu POST mỗi khi người dùng mở một đường dẫn URL mới và thông tin được gởi bao gồm đường dẫn URL dưới dạng base64, ID của người dùng, vị trí của thiết bị gồm quốc gia, thành phố, mã zip và một đường dẫn URL referral được mã hóa. Đoạn mã Bo.js được các extension sử dụng để chèn URL referral hay thay đổi cookie mỗi khi người dùng mở trang web trùng với trang web có trong danh sách liên kết kiếm tiền của tác giả extension. ể tránh bị phát hiện thì một số extension sẽ không kích hoạt cơ chế thu thập dữ liệu ngay sau khi người dùng cài đặt mà sẽ tạm hoãn 15 ngày.
*Trước đó mình từng giới thiệu một extension để anh em có thể xem Netflix cùng nhau, có tên Netflix Party và hiện đã đổi tên thành Teleparty do netflixparty.com phát hành. Các extension cùng tên có vẻ như nhái lại Netflix Party. Trong khi đó, extension Full Page Screenshot Capture - Screenshotting thì nhái lại của GoFullPage. Đến thời điểm này thì cả 5 extension nói trên đã bị gỡ khỏi Chrome Web Store.
Theo: Bleeping Computer
