Google видалила популярне розширення Chrome після виявлення прихованого коду для стеження

14.07.2026 1 хвилин Автор: Newsman

Розширення Chrome, яке використовували майже 900 000 користувачів, було видалено з інтернет-магазину Chrome після того, як дослідники безпеки з Центру операцій безпеки OLT (SOC) компанії Stripe виявили приховану функцію, яка збирає дані перегляду та надсилає їх на зовнішні сервери.

Було виявлено, що загальнодоступна версія 7.0.18 розширення містила код, призначений для збору інформації про перегляди, її шифрування та підготовки до потенційного витоку. Попри наявність таких компонентів, автоматизовані системи безпеки, як повідомляється, оцінили розширення як низькоризикове. Після відповідального розкриття інформації Google видалила його з Chrome Web Store.

ModHeader – це браузерне розширення, яке широко використовують розробники, фахівці з кібербезпеки та інженери з контролю якості для зміни HTTP-заголовків запитів і відповідей під час тестування.

Оскільки розширення має легітимне призначення, велику базу користувачів і поширювалося через офіційний магазин Chrome, дослідники зазначають, що воно користувалося високим рівнем довіри з боку користувачів.

«Розширення браузера займають унікально привілейоване становище», – йдеться у звіті.

«Одне розширення з широкими правами доступу до хоста може читати та змінювати кожну сторінку, яку ви відкриваєте, відстежувати кожен запит, який надсилає ваш браузер, і непомітно працювати протягом усіх сеансів».

Під час розслідування з’ясувалося, що, окрім звичайної функції модифікації заголовків, ModHeader також містив низку сумнівних можливостей:

  • систему збору історії переглядів;

  • механізми зчитування цифрового відбитка пристрою;

  • шифрування зібраних даних за допомогою AES-GCM;

  • механізм відкладеного завантаження даних;

  • збір телеметрії з передаванням інформації на зовнішні домени;

  • скрипти для моніторингу вебсайтів.

Розширення Chrome збирало історію переглядів

За словами дослідників, підозріла функціональність була вбудована в код сервісного працівника (service worker) розширення разом із легітимними компонентами ModHeader.

Система могла генерувати унікальний ідентифікатор пристрою, збирати інформацію про відвідані домени, шифрувати її за допомогою жорстко закодованого ключа та зберігати локально перед потенційною передачею.

За оцінками дослідників, розширення було здатне збирати інформацію про домени з історії переглядів і зберігати до 1000 унікальних доменів для кожного пристрою.

Крім того, система містила кілька функцій, які зазвичай асоціюються з прихованим збором даних, зокрема відкладене завантаження, механізми повторних спроб і очищення даних після успішної передачі.

Хоча можливості, вбудовані в ModHeader, викликають занепокоєння, було зазначено, що інструмент не здійснював активного викрадення історії переглядів.

«Хоча ми не спостерігали активного вилучення історії переглядів у цій збірці, базові механізми збору, зберігання, планування та зв’язку вже присутні», – заявили вони.

Втім, сама наявність цих компонентів є серйозним тривожним сигналом, адже майбутнє оновлення розширення потенційно могло б активувати відповідну функціональність без необхідності запитувати нові дозволи чи отримувати повторне схвалення користувача.

Орієнтація на розробників може відкрити доступ до внутрішньої інфраструктури

Користувачі, які встановили це розширення, можуть перебувати в зоні підвищеного ризику. Дослідники наголошують, що воно здатне відстежувати кожну сторінку, яку відкриває користувач, а це становить серйозну загрозу.

Історія відвідуваних доменів може розкривати конфіденційну інформацію про діяльність компанії. Працівники організацій часто використовують URL-адреси, що містять SAS URI, посилання для скидання пароля, магічні посилання для входу, вбудовані токени доступу, URL-адреси запрошень, посилання на спільні документи та інші конфіденційні дані в рядках запиту.

Доступ до повної історії навігації створює потенційну можливість отримати доступ до конфіденційних ресурсів навіть без безпосереднього компрометування облікового запису.

Оскільки основною аудиторією ModHeader є розробники, це також викликає занепокоєння через можливість використання їхнього доступу до внутрішньої інфраструктури для подальших атак.

Якщо ви використовуєте це розширення, видаліть його негайно

Хоча Google вже видалила ModHeader із Chrome Web Store, користувачам, які встановили його раніше, рекомендується негайно видалити розширення. Дослідники також радять очистити пов’язані дані браузера та перевірити, чи вони не були збережені через синхронізацію Chrome або політики керованих розширень.

«Для команд безпеки це ще одне нагадування, що наявність розширення в офіційному магазині, цифровий підпис і популярність свідчать лише про його походження, а не гарантують безпечність»

Вони також рекомендують організаціям проактивно перевіряти наявність ознак компрометації, видалити або заблокувати ідентифікатор цього розширення в керованих середовищах Chrome, а також додати пов’язану інфраструктуру до систем виявлення загроз на рівні мережі та кінцевих пристроїв.

Підписатися
Сповістити про
0 Коментарі
Найстаріші
Найновіше Найбільше голосів
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.