За даними дослідників компанії Socket, у Chrome Web Store було виявлено 152 шкідливі розширення, замасковані під інструменти встановлення живих шпалер для нових вкладок браузера. Як повідомляється, загалом ці розширення було встановлено понад 105 000 разів, вони збирали дані користувачів всупереч заявам в описах і, ймовірно, використовувалися для систематичної фальсифікації рекламного трафіку. Усім користувачам Chrome, які встановлювали розширення з тематикою аніме, ігрових персонажів, автомобілів або знаменитостей для оформлення нових вкладок, рекомендується негайно перевірити список установлених розширень і видалити підозрілі.
Масштаб та інфраструктура кампанії
Згідно зі звітом Socket, кампанія охоплювала 38 облікових записів розробників у Chrome Web Store — нетипово велику кількість, що вказує на цілеспрямований розподіл розширень для зниження ризику масового блокування. Усі розширення пропонували візуальне оформлення нових вкладок браузера: живі шпалери з персонажами аніме, героями відеоігор, автомобілями та знаменитостями — тематика, розрахована на широку аудиторію.
Дослідники пов’язали інфраструктуру кампанії з трьома доменами:
- tabplugins[.]com
- yowgames[.]com
- chromewallpaper[.]com
Повний перелік шкідливих розширень доступний у звіті Socket.
Технічна схема: від збирання даних до фальсифікації трафіку
Суперечність між описом і політикою конфіденційності
Ключовою знахідкою стала розбіжність між публічними заявами та реальною поведінкою розширень. В описах на сторінці Chrome Web Store стверджувалося, що розширення не збирають і не використовують дані користувачів. Однак у політиці конфіденційності, за даними дослідників, було зазначено протилежне: розширення фіксували IP-адреси, відомості про інтернет-провайдерів, кількість кліків і джерела переходів. Зібрані дані, як повідомляється, передавалися рекламним партнерам, включно з Google AdSense та DoubleClick.
Маніпуляції під час встановлення та видалення
Найвитонченіша частина схеми була пов’язана зі схованими механізмами, які активувалися у двох критичних точках життєвого циклу розширення:
Під час встановлення розширення автоматично відкривали спеціальну сторінку з UTM-мітками. Для аналітичних систем такий перехід виглядав як органічне відвідування з результатів пошуку Google. Як пояснюють дослідники: «Це не людина, яка просто знайшла сайт через пошук Google. Розширення самостійно відкриває вкладку й позначає перехід як органічний».
Під час видалення деякі розширення надсилали запит через google.com/url — легітимний редиректор Google. В аналітичних системах це інтерпретувалося як перехід користувача з результатів пошуку, хоча насправді запит генерувався програмно.
Обидві техніки переслідували одну мету: штучне створення сигналів, які рекламні та аналітичні платформи асоціюють із реальними відвідувачами. Оператори кампанії отримували можливість маніпулювати показниками відвідуваності та походження трафіку — класична схема рекламного шахрайства.
Неактивний механізм роботи з IndexedDB
Дослідники також виявили в коді неактивну функцію, пов’язану з IndexedDB. Під час запуску service worker вона здатна перелічувати й видаляти всі виявлені бази даних IndexedDB у браузері. Хоча на момент аналізу цей механізм не використовувався, його наявність свідчить про закладені додаткові можливості — потенційно деструктивні, оскільки IndexedDB використовується веб-застосунками для зберігання значних обсягів структурованих даних, включно з офлайн-кешами та користувацькими налаштуваннями.
Оцінка впливу
За оцінкою Socket, йдеться про комерційну операцію, спрямовану на рекламне шахрайство та маніпуляцію джерелами трафіку. Понад 105 000 встановлень означають, що десятки тисяч користувачів потенційно зазнали несанкціонованого збирання даних. Водночас важливо враховувати кілька аспектів:
- Для кінцевих користувачів: витік IP-адрес, даних про провайдера та поведінкових метрик до невідомих рекламних партнерів. Наявність «сплячого» коду для роботи з IndexedDB створює ризик втрати даних веб-застосунків у разі активації.
- Для рекламодавців: фальсифікований органічний трафік спотворює аналітику та призводить до неефективного використання рекламних бюджетів.
- Для екосистеми Chrome Web Store: використання 38 облікових записів розробників демонструє обмеженість чинних механізмів модерації під час виявлення скоординованих кампаній.
Варто зазначити, що всі висновки ґрунтуються на звіті одного дослідницького джерела. Офіційного підтвердження з боку Google чи Chrome Web Store на момент публікації не надходило.
Рекомендації
- Перевірте встановлені розширення: відкрийте
chrome://extensions/і звірте список із переліком шкідливих розширень у звіті Socket. Видаліть усі збіги. - Перевірте дозволи розширень: розширення для оформлення нових вкладок не повинні запитувати доступ до даних на всіх сайтах або до мережевої активності.
- Порівнюйте опис із політикою конфіденційності: якщо розширення заявляє про відсутність збирання даних, але його політика конфіденційності описує передавання інформації рекламним партнерам — це явна ознака недоброчесності.
- Мінімізуйте кількість розширень: кожне розширення Chrome виконується з привілеями, що дозволяють взаємодіяти з вмістом сторінок і мережевими запитами. Встановлюйте лише розширення від перевірених розробників із прозорою історією.
- Для адміністраторів корпоративних середовищ: використовуйте групові політики Chrome (
ExtensionInstallBlocklist,ExtensionInstallAllowlist) для обмеження встановлення розширень лише із затвердженого списку.
Цей випадок наочно демонструє, що розширення з візуально безпечною функціональністю — оформлення вкладок, шпалери, теми — залишаються одним із найефективніших векторів для масового збирання даних і рекламного шахрайства. Користувачам, які виявили будь-яке з 152 розширень зі звіту Socket, слід негайно видалити його та перевірити, які дані могли бути передані, переглянувши історію мережевих запитів розширення через інструменти розробника Chrome.
