Μια νέα, ανησυχητική ανακάλυψη στον χώρο της κυβερνοασφάλειας έρχεται να υπενθυμίσει με τον πιο σκληρό τρόπο ότι η περιήγηση στο διαδίκτυο απαιτεί διαρκή επαγρύπνηση, ακόμη και όταν βρισκόμαστε στο φαινομενικά ασφαλές περιβάλλον του επίσημου Chrome Web Store. Ερευνητές ασφαλείας εντόπισαν και κατέδειξαν μια σειρά από κακόβουλες επεκτάσεις (extensions), οι οποίες, παρότι παρουσιάζονταν ως αθώα εργαλεία παραγωγικότητας, λειτουργούσαν ως «κερκόπορτες» για την παραβίαση της ιδιωτικότητας των χρηστών.
Το ζήτημα λαμβάνει τεράστιες διαστάσεις, καθώς δεν μιλάμε για περιθωριακές εφαρμογές, αλλά για λογισμικό που έχει εγκατασταθεί σε δεκάδες εκατομμύρια υπολογιστές παγκοσμίως. Η ευκολία με την οποία αυτές οι επεκτάσεις παρακάμπτουν τους ελέγχους της Google αναδεικνύει ένα δομικό πρόβλημα στον τρόπο που διαχειριζόμαστε τα πρόσθετα εργαλεία στους browsers μας.
Το χρονικό της αποκάλυψης και η λίστα «μολυσμένων» εφαρμογών
Σύμφωνα με τα τεχνικά δεδομένα που ήρθαν στο φως, οι συγκεκριμένες επεκτάσεις δεν είναι απλώς ενοχλητικές, αλλά δρουν παρασιτικά. Οι κατηγορίες στις οποίες εμπίπτουν συνήθως αφορούν εργαλεία μετατροπής αρχείων (όπως PDF converters), εφαρμογές λήψης βίντεο (downloaders) και εργαλεία ασφαλείας (δήθεν VPNs).
Αν έχετε εγκατεστημένη οποιαδήποτε επέκταση που υπόσχεται «γρήγορη μετατροπή αρχείων», «αυτόματη μετάφραση» ή «λήψη περιεχομένου από social media» και παρατηρείτε αλλαγές στη συμπεριφορά του υπολογιστή σας, ο κίνδυνος είναι υπαρκτός. Οι αναλυτές της Wladimir Palant και άλλων φορέων κυβερνοασφάλειας, στους οποίους βασίζονται οι σχετικές αναφορές, έχουν εντοπίσει συγκεκριμένο μοτίβο κώδικα σε επεκτάσεις όπως τα PDF Toolbox, Autoskip for YouTube, Crystal Ad block, Brisk VPN, Good Tab, Children Protection, DPS Websafe και Stock Informer.
Ο «Δούρειος Ίππος»: Πώς ξεγελούν την Google και τον χρήστη
Το ερώτημα που προκύπτει εύλογα είναι: Πώς καταφέρνουν αυτές οι εφαρμογές να επιβιώνουν στο επίσημο κατάστημα της Google; Η απάντηση κρύβεται στην τεχνική της «καθυστερημένης ενεργοποίησης» και της «συσκότισης κώδικα».
Οι δημιουργοί του κακόβουλου λογισμικού είναι πλέον εξαιρετικά επινοητικοί. Όταν υποβάλλουν την επέκταση για έγκριση, αυτή είναι «καθαρή». Λειτουργεί ακριβώς όπως υπόσχεται, χωρίς να ζητά ύποπτα δικαιώματα ή να εκτελεί παράνομες ενέργειες. Ωστόσο, ο κώδικας περιέχει εντολές που ενεργοποιούνται μέρες ή και εβδομάδες μετά την εγκατάσταση.
Ξαφνικά, η επέκταση αρχίζει να επικοινωνεί με εξωτερικούς servers. Από εκεί, λαμβάνει νέες εντολές που της επιτρέπουν να:
- Αλλάζει τα αποτελέσματα αναζήτησης: Ο χρήστης αναζητά ένα προϊόν και οδηγείται σε σελίδες affiliate marketing χωρίς τη συγκατάθεσή του, αποφέροντας κέρδη στους hackers.
- Εισάγει διαφημίσεις (Ad Injection): Εμφανίζει pop-ups και banners σε ιστοσελίδες που κανονικά δεν έχουν διαφημίσεις.
- Υποκλέπτει δεδομένα περιήγησης: Καταγράφει ποιες σελίδες επισκέπτεστε, δημιουργώντας ένα πλήρες προφίλ των συνηθειών σας, το οποίο στη συνέχεια πωλείται στη μαύρη αγορά δεδομένων.
Γιατί τα Antivirus δεν τα εντοπίζουν πάντα
Ένα σημαντικό πρόβλημα που αναδεικνύουν οι ειδικοί είναι η φύση αυτών των απειλών. Καθώς πρόκειται για επεκτάσεις που «ζουν» μέσα στον browser και όχι για παραδοσιακά εκτελέσιμα αρχεία (.exe) στον σκληρό δίσκο, πολλά συμβατικά προγράμματα antivirus δυσκολεύονται να ανιχνεύσουν τη δραστηριότητά τους σε πραγματικό χρόνο.
Επιπλέον, πολλές από αυτές τις επεκτάσεις αγοράζονται από νόμιμους developers. Ένας προγραμματιστής φτιάχνει ένα χρήσιμο εργαλείο, αποκτά χιλιάδες χρήστες και στη συνέχεια δέχεται προσφορά εξαγοράς από μια άγνωστη εταιρεία. Μόλις η ιδιοκτησία αλλάξει χέρια, μια «αθώα» αναβάθμιση μετατρέπει το εργαλείο σε όπλο υποκλοπής.
Τι πρέπει να κάνετε τώρα
Η προστασία των προσωπικών σας δεδομένων απαιτεί άμεση δράση. Αν χρησιμοποιείτε τον Google Chrome (ή browsers που βασίζονται σε αυτόν, όπως ο Microsoft Edge, Brave, Opera), ακολουθήστε τα παρακάτω βήματα:
- Έλεγχος Επεκτάσεων: Πληκτρολογήστε
chrome://extensionsστη μπάρα διευθύνσεων. - Εκκαθάριση: Εξετάστε τη λίστα προσεκτικά. Αν δείτε κάποια επέκταση που δεν θυμάστε να εγκαταστήσατε ή που δεν χρησιμοποιείτε πια, διαγράψτε την αμέσως πατώντας «Remove». Δώστε ιδιαίτερη προσοχή σε επεκτάσεις διαχείρισης PDF και VPN αγνώστου προελεύσεως.
- Reset στον Browser: Αν υποψιάζεστε ότι η ζημιά έχει γίνει, επαναφέρετε τις ρυθμίσεις του browser στις εργοστασιακές (Settings > Reset settings).
- Σάρωση για Malware: Χρησιμοποιήστε ένα εξειδικευμένο εργαλείο καθαρισμού (όπως το Malwarebytes) για να βεβαιωθείτε ότι δεν έχουν μείνει κατάλοιπα στο σύστημα.
Η Google έχει ήδη προχωρήσει στην αφαίρεση πολλών εκ των αναφερόμενων επεκτάσεων από το Store της. Ωστόσο, για τους χρήστες που τις έχουν ήδη εγκαταστήσει, η αυτόματη αφαίρεση δεν είναι πάντα εγγυημένη ή άμεση. Η «χειροκίνητη» απεγκατάσταση παραμένει η μόνη σίγουρη λύση.
