Фахівці з кібербезпеки компанії SquareX виявили критичну вразливість у системі синхронізації браузера Chrome, яка дозволяє зловмисникам отримувати несанкціонований доступ до конфіденційних даних користувачів. Новий метод атаки, названий Syncjacking, використовує легітимні розширення браузера для компрометації пристроїв жертв, при цьому залишаючись практично непомітним для систем безпеки.
Технічні аспекти проведення Syncjacking-атаки
Процес атаки починається зі створення зловмисником спеціального домену в Google Workspace. Ключовою особливістю є налаштування профілів користувачів без двофакторної автентифікації. Наступним кроком стає публікація в Chrome Web Store розширення, замаскованого під корисний інструмент. Важливо відзначити, що розширення має мінімальні привілеї доступу, що ускладнює його виявлення стандартними засобами захисту.
Механізм компрометації та потенційні загрози
Після встановлення користувачем розширення активується прихований механізм атаки. Використовуючи базові дозволи на читання та запис веб-сторінок, розширення впроваджує шкідливий код на сторінку підтримки Google. Це запускає процес синхронізації з підконтрольним зловмиснику профілем, що надає доступ до:
– Збережених паролів та облікових даних
– Історії переглядів та закладок
– Налаштувань браузера та розширень
Розширені можливості для проведення атак
Дослідники продемонстрували, що після отримання контролю над профілем Chrome зловмисники можуть використовувати Native Messaging API для встановлення прямого зв’язку з операційною системою. Це відкриває шлях до:
– Віддаленого встановлення шкідливого ПЗ
– Виконання системних команд
– Перехоплення введення з клавіатури
– Несанкціонованого доступу до периферійних пристроїв
Складності виявлення та методи захисту
Особливу небезпеку представляє відсутність явних ознак компрометації системи. На відміну від традиційних фішингових атак, Syncjacking не потребує складних схем соціальної інженерії та може залишатися непоміченим протягом тривалого часу.
Для захисту від Syncjacking-атак рекомендується впровадити комплекс заходів безпеки: використовувати двофакторну автентифікацію для всіх облікових записів Google, регулярно проводити аудит встановлених розширень Chrome та контролювати появу нових профілів у налаштуваннях браузера. При виявленні підозрілої активності необхідно негайно повідомляти службу безпеки Google та видаляти неперевірені розширення.
