Spoločnosť Socket identifikovala v Chrome Web Store sieť 152 rozšírení s celkovo 105-tisíc inštaláciami, ktoré zbierali IP adresy, údaje o kliknutiach a informácie o pohybe používateľov napriek tomu, že v popise uvádzali opak. Na prípad upozornil portál The Hacker News.
Rozšírenia vystupovali pod lákavými názvami. Tapety s Neymarom, Porsche, Hello Kitty, Minecraftom alebo anime sériou Demon Slayer, roztrúsené medzi 38 vydavateľskými účtami. Každé z nich v Chrome Web Store deklarovalo, že nezbiera ani nepoužíva údaje používateľov. Prepojené zásady ochrany súkromia pritom zaznamenávanie IP adries, poskytovateľa internetu, počtu kliknutí a referrerov výslovne uvádzali, napísal server TECHBYTE.sk.
Sledovanie napriek popisu
Časť zozbieraných údajov mala byť zdieľaná s reklamnými partnermi vrátane Google AdSense a DoubleClick. Rozšírenie, ktorého jedinou deklarovanou funkciou je zmena tapety, nepotrebuje prístup k týmto informáciám. Socket zaradil celú rodinu do kategórie adware-adjacent, teda niečo medzi neželaným softvérom a reklamnou schémou, nie klasický malvér navrhnutý na krádež hesiel alebo šifrovanie súborov.
Pri 54 rozšíreniach výskumníci objavili ďalší mechanizmus. Po inštalácii automaticky otvorili stránku prevádzkovateľa a návštevu označili tak, akoby prišla z organického výsledku Google vyhľadávania. Používateľ nič nehľadal. Analytické nástroje napriek tomu mohli návštevu zaradiť ako prirodzený záujem. Organická návštevnosť má pre reklamné siete a affiliate systémy vyššiu hodnotu než priama, preto jej umelé generovanie priamo ovplyvňuje výnosy prevádzkovateľov.
tabplugins.com a ďalšie backendy
Rozšírenia so 105-tisíc inštaláciami a falšovanými štatistikami návštevnosti fungovali súbežne, pričom Socket identifikoval tri spoločné backendy: tabplugins.com, yowgames.com a chromewallpaper.com. Práve prepojenie cez tieto domény umožnilo výskumníkom identifikovať celú rodinu napriek tomu, že rozšírenia vystupovali pod rôznymi názvami a cez desiatky oddelených vydavateľských účtov.
Ak Chrome používate s rozšíreniami meničmi dizajnu, živými tapetami alebo hernými motívmi, Socket odporúča skontrolovať adresu chrome://extensions. Podozrivé sú najmä rozšírenia s nejasným vydavateľom, nepoužívané dlhší čas alebo také, ktoré si pýtajú viac oprávnení, než by jednoduchá vizuálna funkcia vyžadovala. Rovnaký mechanizmus sledovania, aký Socket popísal pri tapetách s Porsche či BMW, mohol fungovať aj v rozšíreniach s úplne iným vizuálnym motívom, pokiaľ zdieľali rovnaký backend.
Google zatiaľ k nálezu Socket nevydal verejné vyjadrenie, ktoré by portál The Hacker News citoval.
