Pubblicità
Motherboard

Milioni di utenti Chrome hanno installato dei malware che sembravano Ad Blocker

È bastato dare un'occhiata al codice di alcuni ad blocker per scoprire funzioni parecchio preoccupanti.

di Kaleigh Rogers
20 aprile 2018, 9:45am

Immagine: Pixabay

Come se cercare di dare un senso ai concetti di privacy online non fosse abbastanza, ora si è scoperto che anche gli adblocker che abbiamo tutti installato nei nostri browser potrebbero essere dei malware.

Andrey Meshkov, il co-fondatore dell'ad-block AdGuard, si è recentemente incuriosito a causa dell'enorme quantità di estensioni di ad-blocking presenti sullo store di Google Chrome. Queste estensioni sono state progettate per sembrare dei veri e famosi ad blocker, ma Meshkov si è chiesto perché esistessero prima di tutto, così ne ha scaricato uno e ha dato un'occhiata al codice.

"In pratica, l'ho scaricato e ho controllato quali fossero le richieste che l'estensione effettuava," mi ha spiegato Meshkov al telefono. "Ed è allora che alcune strane richieste hanno catturato la mia attenzione."

Meshkov ha scoperto che l'estensione AdRemover per Chrome — che ha oltre 10 milioni di utenti — ha del codice nascosto all'interno di un'immagine che è caricata da un server a comando remoto, e che dà al creatore dell'estensione l'abilitò di cambiare le funzioni dell'estensione senza aggiornarla. Solo questo aspetto infrange le policy di Google, e dopo che Meshkov ha riportato alcuni esempi sul blog di AdGuard, molti dei quali avevano milioni di download, Chrome ha rimosso le estensioni dallo store. Ho contattato Google, e un portavoce mi ha confermato che queste estensioni sono state rimosse.

Screenshot della pagina di AdRemover sullo store di Chrome. Immagine: Courtesy of Andrey Meshkov
Screenshot dell'immagine che nascondeva il codice malevolo nell'estensione. Immagine: Courtesy of Andrey Meshkov

Anche se Meshkov non ha immediatamente rilevato perché l'estensione stesse raccogliendo quei dati, ha spiegato che avere un collegamento del genere a un server remoto è pericoloso perché potrebbe modificare il comportamento del tuo browser in molti modi. Meshkov ha spiegato che avrebbe potuto alterare l'aspetto delle pagine, recuperare informazioni dell'utente, o caricare altre estensioni che l'utente non aveva installato.

Ho chiesto a Yan Zhu, uno sviluppatore software che lavora per il browser privacy-conscious Brave, di dare un'occhiata alle scoperte di Meshkov. Mi ha spiegato che Chrome ha un interessante storico per ciò che riguarda approvare strane estensioni nel suo store. Ha spiegato che benché un codice del genere non permette ad un'estensione di "fare qualunque cosa", potrebbe essere sicuramente usato per scopi malevoli.

"Per esempio l'estensione potrebbe fungere da intermediario malevolo delle richieste che arrivano dal tuo browser, ma non può, pere esempio, leggere il database criptato delle password del tuo browser, perché quello non è un privilegio che un'estensione ha," mi ha spiegato Zhu in un messaggio privato su Twitter.

Meshkov mi ha spiegato che anche se Google ha rimosso le estensioni che ha segnalato, lo store è pieno di questo tipo di estensioni. In passato, queste estensioni sono passate in mano ad altre persone e hanno permesso la diffusione di malware agli utenti.

Quindi cosa fare quando tutte le estensioni sembrano vere? Meshkov si è raccomandato di dare un'occhiata al sito dello sviluppatore, e cercare un link diretto alla pagina dello store vera. E in generale, fare attenzione a ciò che si installa nel proprio browser.

So what should you do when all the sketchy extensions look just like the real deal? Meshkov recommended looking up the developer website for the extension you want, and they’ll have a link to the store where you can install it. And just be careful about what you install on your browser.

Questo articolo è apparso originariamente su Motherboard US.