Google verwijdert vijfhonderd kwaadaardige Chrome-extensies

Google heeft vijfhonderd Chrome-extensies uit zijn Chrome Web Store verwijderd nadat beveiligingsonderzoekers aan het bedrijf hadden gemeld dat kwaadwillenden een groot aantal misbruikten voor malvertising: frauduleuze handelingen voor advertentiedoeleinden.

Onderzoekers van Cisco's Duo Security troffen meerdere Chrome-extensies aan die zich voordeden als toepassingen voor advertising as a service, maar die gebruikt werden om verbinding te maken met een command & control-architectuur en om browserdata weg te sluizen zonder dat de gebruiker dit doorhad.

De extensies konden daardoor kwaadaardige advertenties injecteren in browsesessies van gebruikers. Die reclame kon gebruikers weer doorsturen naar pagina's met affiliate links, maar ook naar pagina's met verdere malware. De extensies probeerden de fraudedetectiemechanismes van de Chrome Web Store te omzeilen.

Na onderzoek kwam Duo Security erachter dat er een heel netwerk van gelijkaardige extensies actief was en het bedrijf wist er met behulp van CRXcavator zeventig te identificeren. Die waren, op basis van cijfers van de Chrome Web Store zelf, door meer 1,7 miljoen gebruikers geïnstalleerd. Na Google op de bevindingen gewezen te hebben, vond die browsermaker in totaal vijfhonderd extensies die hetzelfde patroon als de gerapporteerde extensies vertoonden.

Reacties (47)

mutley69 14 februari 2020 18:41

Ik weiger gewoon chrome te gebruiken - niet dat firefox veiliger is, maar chrome is door de hoge gebruiksaantallen iets meer rendabel voor malwaremakers.

Cerberus_tm

@mutley69 • 15 februari 2020 05:20

Nou, volgens mij worden extensies bij Firefox wel degelijk echt door mensen bekeken en eventueel goedgekeurd, wat bij Chrome niet gebeurt. Extensies zijn echt wel een stukje veiliger bij Firefox.

decide1000 @mutley69 • 15 februari 2020 09:15

De reden dat ik Firefox gebruik is dat extensies wel degelijk gecontroleerd worden..
Ik weet niet wat je met 'veiliger' bedoelt maar qua doorsturen van data aan derden (en Google) is Firefox zeer privacy friendly.

Blaise 14 februari 2020 17:08

Ik onderhoud een Chrome extensie met ruim 2000 actieve gebruikers en ik krijg regelmatig mailtjes met de vraag of ze tegen betaling mijn extensie kunnen overnemen. Ik ga daar niet op in maar het zal zijn dat andere developers dat wel doen, anders blijven ze dat niet proberen.

Ik verdien geen geld aan mijn extensie en de code is open source dus ik denk niet dat gebruikers bereid zijn om er opeens voor te betalen, dus ik vermoed dat het malafide bedrijfjes zijn die data willen stelen of advertenties willen injecteren.

Het reviewproces is niet heel streng of uitgebreid en daar kan best malafide code langsglippen. Dus het kan zijn dat een extensie die je altijd vertrouwde opeens wordt gekaapt of overgenomen, en vervolgens hengelt jouw Chrome dat binnen met auto-update.

[Reactie gewijzigd door Blaise op 23 juli 2024 08:20]

XRayXI @Blaise • 14 februari 2020 20:45

Misschien stomme vraag maar, stel als je het toch verkocht, zou het kunnen zijn dat jouw naam ook kan schaden? Ja, waarschijnlijk gebruik je een ander naam zoals een 'nickname' maar toch. Ik naam aan dat er build-logs zijn en je naam nog steeds erin kon staan.

Blaise @XRayXI • 14 februari 2020 21:43

Ja dat zou zeker kunnen, met Google cache, web archive en andere sporen die her en der achterblijven. Ik gebruik bovendien mijn reguliere Google account en dus toont de extensie mijn voor– en achternaam, maar ik kan dat maskeren met publisher group settings.

WillySis @Blaise • 14 februari 2020 18:36

Wij hebben dezelfde ervaring met een appje voor Android. Het doet eigenlijk weinig zichtbaars, maar geeft wel informatie over de GPS die wij voor onze eigenlijke app nodig hebben. Een Iphone versie hebben we niet, want daar kennen we de gegevens al van.
Ook hier vermoeden we dat het gewoon om malafide intenties gaat.

BlaDeKke @Kain_niaK • 15 februari 2020 12:35

Dit is wat je met ouder worden wel begint te merken.

Verwijderd 14 februari 2020 15:20

Mooie tijd voor een paar algemene beveiligings tips:

Controleer af en toe je browser extenties.
Gebruik je ze wel vaak genoeg om hun installatie te verantwoorden?

Hebben de extensies minimale toegangsrechten? Gebruik het Principle of least privilege
Goede extensies kun je beperken tot enkele URLs (sites) of zelfs volledig uitschakelen tot je ze nodig hebt (klik om te activeren)

Gebruik enkel gevalideerde browser extensies van gerenommeerde organisaties.
Maar vertrouw ze nooit 100%. Er zijn veel imitaties van bekende plugins en extensies die een-op-een lijken (en werken) als het origineel met ongewenste toevoegingen. Ook als een plugin veel installaties heeft, zegt ook niets over de betrouwbaarheid. Een goede extensie heeft het privacybeleid erbij staan.

Bij twijfel, Google de extentie of check https://crxcavator.io/

Veel mensen gebruiken bijvoorbeeld adblocker extensies maar weten niet dat deze vaak jouw browsergeschiedenis doorsluizen. Dit is hun verdienmodel. Kies alleen adblockers met een goede reputatie zoals uBlock Origin. Maar ook daar, google af en toe hun reputatie. Deze extensies hebben toegang tot alles wat je op internet doet. Van creditcard betaling to whatsapp berichten in whatsapp web.

Zelf gebruik ik de volgende instellingen voor extenties (als voorbeeld):

uBlock origin: toegang tot alle sites, behalve incognito.
Google Calendar Scroll Disabler: open source en alleen toegang tot https://calendar.google.com/*
Stop Slide Scrolling in Google Presentation: Open source en alleen toegang wanneer ik klik.
Voys plugin: alleen toegang wanneer ik klik.

Application Launcher for Drive: van Google zelf.
Google Docs Offline: van Google zelf.
Chrome Remote Desktop: van Google zelf.
Google Keep Chrome Extension: van Google zelf.
Endpoint Verification: van Google zelf, alleen toegang tot *://*.google.com/*

Het is niet perfect maar bedenk je dat beveiliging in lagen werkt.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 08:20]

Polydeukes 14 februari 2020 13:45

Vraag van een leek op dit gebied: als je zo'n extensie geïnstalleerd hebt, wordt deze dan ook automatisch verwijderd?

Merkin Muffley @Polydeukes • 14 februari 2020 13:47

Lijkt me niet, hoe moet google op je pc komen? Ze worden uit de 'store' geknikkerd lijkt me.

hiostu @Merkin Muffley • 14 februari 2020 13:53

Ze draaien toch binnen Chrome. Je weet wel de browser van Google waar de extensies voor zijn. Natuurlijk kan Google er voor zorgen dat ze uit Chrome verwijderd worden als ze dat willen.

tdlaccount @hiostu • 14 februari 2020 14:31

Uit de store ja, maar niet vanuit je browser zelf(lokaal). Enige hoe ze kunnen doen is doordat het verwijderd is uit de store. De Developer het niet meer ondersteund en dus niet meer functioneert. En of een melding doorvoeren.

[Reactie gewijzigd door tdlaccount op 23 juli 2024 08:20]

Merkane @tdlaccount • 14 februari 2020 14:38

Ze kunnen zeker wel een script laten draaien wat @SilentLucidity hieronder ook al zegt. De extensies worden ingeladen als je chrome start dus chrome weet precies welke extensies jij draait. Zij kunnen ook gewoon deze extensie de nek om draaien als iemand dat nog draait maar dit zal wel wat voeten in de aarde hebben omtrent wetgeving om dit zomaar te doen

i-chat @Merkane • 14 februari 2020 18:49

Volgens mij werkt google met extensies op de manier waarom ook certificaten werken

Sus bij de start van extentie x chect de browser een lijst zoals het ook een Certificate Rwvocation List checkt voor er een https verbinding tot stand komt

Genosha @tdlaccount • 14 februari 2020 14:42

FireFox is gelukkig hier een stuk slimmer in. Die pushen dat een extensie niet actief kan zijn als er iets mis mee is (zoals een out-of-date Flash).

bamboe @Genosha • 14 februari 2020 18:20

even de duivel steunen, maar... Mischien zijn de gebruikers van die extensie wel blij er mee en willen ze hem gewoon blijven gebruiken ondanks de extra reclame....
Die zijn dan niet blij als het in een keer niet meer werkt.

Cerberus_tm

@bamboe • 15 februari 2020 05:21

Die kun je dan volgens mij weer handmatig aanzetten.

3raser @tdlaccount • 14 februari 2020 14:54

Op Android doet Google precies hetzelfde. Malafide apps kunnen op afstand worden gedeïnstalleerd. Waarom zou het binnen Chrome dan plotseling niet kunnen?

hiostu @tdlaccount • 14 februari 2020 16:58

Waarom zouden ze dat niet kunnen doen? Ze kunnen automatisch extensies installeren op het moment dat je de eerste keer inlogt op een Chrome browser met een nieuwe installatie. Dus Google kan ook gewoon code in de browser hebben zitten die ook weer extensies verwijderd. Ze hebben zelf gewoon volledige controle over de browser die draait op je PC.

SilentLucidity @Merkin Muffley • 14 februari 2020 13:51

Google kan een update doorvoeren die deze extensies verwijderd? Google kan zelf op afstand code laten executen in Chrome die deze extensies verwijderd? Of ze dat ook daadwerkelijk doen is een tweede...

[Reactie gewijzigd door SilentLucidity op 23 juli 2024 08:20]

Marctraider @Merkin Muffley • 14 februari 2020 15:15

Ehm, kan op verschillende manieren. De minst intrusive is gewoon een blokkade opwerpen dmv een signature ofzo.

Geen idee hoe dit geimplementeerd is.

Verwijderd @Merkin Muffley • 14 februari 2020 15:21

Lijkt me niet, hoe moet google op je pc komen?

Door een Google Chrome installer op het internet aan te bieden die na installatie code op je PC uitvoert. Welkom in de wereld van software.

Bender @Merkin Muffley • 14 februari 2020 14:14

En je browser is geconnect met de 'store'.

WillySis @Merkin Muffley • 14 februari 2020 18:31

Het is niet gedaan, maar als men een check had ingebouwd of een extentie nog in de Store staat, of op een apart te onderhouden black-list, dan zou Chrome een extentie kunnen verwijderen.
Misschien moet Google zo'n functie toch eens overwegen, of gewoon extenties gaan controleren of ze geen rare dingen doen.
Wat voor Chrome geldt, geldt overigens ook voor Android.

faxityy @Polydeukes • 14 februari 2020 14:09

Absoluut niet.

Ik heb dit dan ook aan de hand gehad. Was een extensie die uit de chrome store was gehaald omdat de developer dingen deed die tegen de richtlijnen in gingen.

Lange tijd na dat gebeuren is die bij mij functioneel gestopt met werken, en ben ik daar pas achter gekomen omdat ik ging googlen waarom die niet meer werkte. Toen pas heb ik die dus verwijderd en vervangen door wat anders. Ben sindsdien dus ook ietsje voorzichtiger ermee met zomaar eender welke extensie installeren.

OxWax @faxityy • 14 februari 2020 14:26

Ben sindsdien dus ook ietsje voorzichtiger ermee met zomaar eender welke extensie installeren.

U klikt zachter op install of wat doet u concreet?

OncreatieveNaam @OxWax • 14 februari 2020 16:07

Vermoedelijk zoekt hij eerst (grondig) uit of een extensie niet (mogelijk) tegen richtlijnen ingaat of eventuele "verkeerde" handelingen (kan) uitvoeren. Hierna, inderdaad, door zachtjes en gecontroleerd op install te drukken.

faxityy @OxWax • 15 februari 2020 12:30

Haha ok... Ik ga effectief op zoek naar de GitHub erachter als het een extensie met weinig installs/populariteit is. Is die er niet dan hoef ik de plugin simpelweg niet.
Ik ben zelf namelijk ook developer als beroep, dus vlug door code kijken is een kleine moeite.

SponsorBlock for YouTube is bijvoorbeeld een recente kleine extensie waar ik toch op GitHub naar de code ben gaan kijken.
Bijvoorbeeld Linus techtips heeft veel sponsor stukken in zijn video, mensen geven dan aan in die extensie wanneer dat begint en eindigt, en de stukken worden gewoon mooi voor iedereen geskipped.

[Reactie gewijzigd door faxityy op 23 juli 2024 08:20]

OxWax @faxityy • 15 februari 2020 12:52

Dat je reclame of ads skipot kan ik me nog voorstellen maar iets wat je interesseert en voor kiest te bekijken en dus betaald door de sponsors?

jeanj @faxityy • 16 februari 2020 10:03

Prima dat je dIt doet, maar wie garandeert dat de geïnstalleerde extensie overeen komt met de code die je ziet. Eigenlijk zou je de extensie zelf moeten bouwen op basis van de code wil je zekere zijn

faxityy @jeanj • 16 februari 2020 15:28

Opzich heb je gelijk, maar dat is voor mij persoonlijk dan weer te ver gaand.
Ik vind dat ik hier al voldoende mee doe om zelf tevreden mee te zijn.

Al doe ik dat ook wel hoor! Heb op mijn server aan aantal docker containers draaien die ik zelf via drone-ci build vanuit de source code. Met dank aan het linuxserver.io project die dat doen voor ontzettend veel applicaties en hun pipelines en buildconfigs opensource hebben staan, waarop ik me heb gebaseerd.

batjes

Google Chrome
Google Chrome
Browsers

@Polydeukes • 14 februari 2020 13:50

Extenties worden niet lokaal verwijderd. Dit is een paar dagen geleden o.a. ook met Dashlane gebeurd.

kuurtjes @Polydeukes • 14 februari 2020 14:00

Bij mij werd er eerder al een extensie via Googles kant gedisabled omdat deze malware leek te bevatten. Ik denk wel dat deze op mijn computer bleef staan, maar met een melding dat deze malware bevatte.

Wouterie @Polydeukes • 14 februari 2020 14:02

Goeie vraag! Bij Android was dat niet zo, ik vraag me af of het in dit geval ook zo is. Ik kan er in elk geval niet zo veel over vinden zo snel. In het artikel roept men gebruikers op om kritisch te kijken naar de geïnstalleerde extensies en spreekt men over de getroffen gebruikers in de verleden tijd. Dat laatste zou er op kunnen wijzen dat Google de uitbreidingen ook van uit Chrome heeft verwijderd, hoewel dat een erg gevaarlijke aanname is natuurlijk.

Peter

@Polydeukes • 14 februari 2020 17:21

Dat heeft met de precieze reden te maken waarom de extensie uit de Chrome Web Store verwijderd is. Als de extensie actief schade aanricht aan je systeem, dan hebben we inderdaad de mogelijkheid om deze op afstand uit te zetten (let: niet verwijderen) bij gebruikers.

Dit gebeurd op basis van de Safe Browsing infrastructuur. Ik heb geen kennis van wat er gebeurd is met de extensies die in deze golf verwijderd zijn van de Chrome Web Store.

qbig1970 @Polydeukes • 14 februari 2020 18:09

eventueel met een goeie malware scanner die ook extensies scant (norton ofzo)
Check anders even NPE Norton Power Eraser
https://us.norton.com/support/tools/npe.html

Suc6

miknic @Polydeukes • 14 februari 2020 19:54

Herinstalleer Chrome, meld je weer aan. Laat de boel synchroniseren en je zult zien of alles geïnstalleerd word.

Fugitive2008 14 februari 2020 14:07

Ah dus niemand die Chrome gebruiikt kan straks meer een adblocker installeren

WhatsappHack

Google

@Fugitive2008 • 14 februari 2020 15:14

Als ik het me goed herinner heeft Google inderdaad plannen om te voorkomen dat die nog goed kunnen functioneren, met uitzondering van Enterprise gebruikers. Apple heeft met Safari v13 (en in mindere mate v12) ook heel erg veel privacy en adblocking extensies gemold door de manier waarop dat nu werkt, er zijn er nog maar een paar beschikbaar en die werken universeel voor geen reet vergeleken met zaken als uBlock en JSBlocker. Het zijn jammerlijke ontwikkelingen gezien vanuit 'ons' oogpunt, al levert het voor doorsnee gebruikers wel een veiligheidswinst op omdat ze niet meer allerlei rotzooi kunnen sideloaden in hun browser. Dat het alleen niet mogelijk is om een flag te zetten, desnoods met moeite en veel waarschuwingen, om het te omzeilen is nogal kak - zo krijg je je browser niet langer adequaat beveiligd. "Ja maar als je van je browser afhankelijk bent voor de beveiliging en filtering ben je al niet goed bezig", neen - het is een aanvulling op andere maatregelen die wel degelijk een behoorlijke toegevoegde waarde heeft, niet de first line of defence.

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 08:20]

decide1000 @WhatsappHack • 15 februari 2020 09:30

Google werkt aan een update die binnen 2 jaar uitkomt waarbij de werking van extensions inderdaad verandert.

Grote websites missen 5-30% van het verkeer in Google Analytics door privacy instellingen in Safari en Firefox en adblockers in Chrome.
Het gaat Google in zijn hart raken als dit percentage stijgt.

In mei 2019 werd al aangekondigd dat Google hier stappen in ging nemen. Ik heb daarover een productmanager en developer gesproken bij Google in SF (waar ik was voor werk).

Google gaat veel veranderen de komende periode om de misgelopen inkomsten teniet te doen. Advertenties in Google zoekresultaten worden veel heftiger (met afbeeldingen!). YouTube Ads wordt vermengd met Google Text Ads en Shopping. Google Shopping wordt een serieus warenhuis met winkelmandje en betaalstraat (1e versie is al live in Frankrijk en US).

Cookies, die dus worden geblokkeerd, wil Google gaan vervangen door events. Ik weet niet hoe ze dit willen gaan doen zonder de kans op blokkade door browsers en plugins, maar ik hoop er binnenkort meer over te horen. Ik neem aan dat de events zullen werken dmv een JavaScript maar dat is speculatie vanuit mij.