L’éditeur du célèbre bloqueur de publicités AdGuard a découvert des extensions pour Google Chrome qui téléchargent du code depuis un site tiers. En contournant ainsi la sécurité de Google, elles peuvent se livrer à des activités suspectes. Au total plus de 295 extensions avec 80 millions d’utilisateurs seraient concernées.
au sommaire
La sécurité mise en place par GoogleGoogle pour valider les extensions sur le Chrome Web StoreStore semble bien insuffisante. En examinant la concurrence, AdGuard, éditeur d'un bloqueur de publicités, a découvert 295 extensions malicieuses. Elles ont été installées par plus de 80 millions d'utilisateurs du navigateur Google Chrome, et peuvent être mises à jour à tout moment pour ajouter de nouvelles fonctions, sans passer par le Chrome Web Store.
La firme pointe du doigt de faux bloqueurs de publicités, mais également de nombreuses extensions qui ne servent qu'à changer l'image de fond des nouveaux onglets. Une fois installées, elles téléchargent un code depuis le site fly-analytics.com, ce qui leur permet d'ajouter des fonctions malicieuses en contournant la vérification de Google. Les extensions utilisent une technique de stéganographie et téléchargent une image qui contient du code pour des publicités. Elles surveillent le contenu de chaque onglet ouvert et injectent ces publicités dans les pages de résultats de Google ou Bing.
Des extensions mises à jour sans passer par le Chrome Web Store
La liste complète a été publiée sur GitHub, et Google a d'ores et déjà commencé à les supprimer. En plus de celles-ci, AdGuard a découvert deux autres catégories problématiques. La première est constituée de seulement six extensions, nommées sur son blog. Elles utilisent une technique baptisée « cookiecookie stuffing ». En enregistrant des cookies spéciaux, les éditeurs reçoivent une commission lorsque l'utilisateur effectue des achats sur certains sites.
La dernière catégorie a attiré l'attention d'AdGuard parce que le nombre d'avis est bien trop faible par rapport au nombre d'utilisateurs. Cela suggère une manipulation avec de faux utilisateurs. Ces extensions n'ont aucune activité suspecte pour l'instant, mais téléchargent un code depuis Google Tags Manager, qui peut être mis à jour sans vérification par Google. Comme les deux autres catégories, elles peuvent donc se transformer à tout moment en véritable malwaremalware. Mieux vaut donc se limiter aux extensions essentielles et aux éditeurs connus.