Onderzoeker vindt verdachte unlisted Chrome-extensies met miljoenen installaties

Cybersecuritybedrijf Secure Annex heeft 35 Chrome-extensies ontdekt die verdacht gedrag vertonen. Ze zijn allemaal unlisted, wat wil zeggen dat ze alleen te vinden en te installeren zijn door mensen die de link naar de extensie hebben.

John Tuckner van Secure Annex schrijft in een blogpost dat de extensies, die door meer dan vier miljoen mensen zijn geïnstalleerd, soortgelijke functionaliteit beloven. Dit omvat adblocking, browser- of privacybeveiliging en verbeterde zoekresultaten.

Tuckner merkt op dat de code voor het geclaimde gebruiksdoel echter zeer beperkt is of helemaal ontbreekt. De extensies vragen bovendien een brede lijst aan permissies. Hierdoor krijgen ze niet alleen toegang tot cookies en webverkeer op alle bezochte URL's, maar kunnen ze ook browsertabbladen beheren en scripts uitvoeren.

De beveiligingsonderzoeker kon de 35 extensies aan elkaar linken door het gemeenschappelijke domein unknow.com, dat volgens de code opvallend genoeg geen ander praktisch nut lijkt te hebben. Ook opmerkelijk is dat sommige van de extensies gemarkeerd zijn als ‘Featured’ door Google. Gebruikers kunnen ze namelijk niet terugvinden omdat ze niet geïndexeerd zijn door zoekmachines en ook niet terug te vinden zijn in de Chrome Web Store.

Tucker vraagt zich af hoe het mogelijk is dat zoveel gebruikers de unlisted extensies hebben geïnstalleerd. De onderzoeker heeft ze aangegeven bij Google en gaat in de gaten houden of ze uit de Web Store worden verwijderd.

Door Idriz Velghe

Redacteur

Feedback • 11-04-2025 21:10
34 • submitter: KeizerWilmer

11-04-2025 • 21:10

34

Submitter: KeizerWilmer

Lees meer

Waalse overheid vraagt hulp aan Microsoft na gerichte cyberaanval
Waalse overheid vraagt hulp aan Microsoft na gerichte cyberaanval Nieuws van 18 april 2025
Rijksoverheidsambtenaren moeten verplicht cursus Digitale Weerbaarheid volgen
Rijksoverheidsambtenaren moeten verplicht cursus Digitale Weerbaarheid volgen Nieuws van 11 april 2025
Microsoft dicht actief misbruikte zeroday in Windows
Microsoft dicht actief misbruikte zeroday in Windows Nieuws van 10 april 2025
Meerdere Nederlandse ministeries getroffen door 'groot datalek'
Meerdere Nederlandse ministeries getroffen door 'groot datalek' Nieuws van 10 april 2025
Bot verspreidt 80.000 unieke spamberichten via OpenAI-api
Bot verspreidt 80.000 unieke spamberichten via OpenAI-api Nieuws van 10 april 2025
Belgische regering investeert miljoenen in overstap leger naar clouddiensten
Belgische regering investeert miljoenen in overstap leger naar clouddiensten Nieuws van 10 april 2025
Google dicht Android-zeroday die door Servische autoriteiten misbruikt wordt
Google dicht Android-zeroday die door Servische autoriteiten misbruikt wordt Nieuws van 10 april 2025
Kritieke kwetsbaarheid FortiSwitch maakte veranderen adminwachtwoorden mogelijk
Kritieke kwetsbaarheid FortiSwitch maakte veranderen adminwachtwoorden mogelijk Nieuws van 8 april 2025
Lek in WhatsApp voor Windows kan leiden tot uitvoeren willekeurige code
Lek in WhatsApp voor Windows kan leiden tot uitvoeren willekeurige code Nieuws van 8 april 2025
Google dicht Chrome-kwetsbaarheid die mogelijk voor spionage werd gebruikt
Google dicht Chrome-kwetsbaarheid die mogelijk voor spionage werd gebruikt Nieuws van 27 maart 2025
Google wijzigt Chrome-extensiebeleid na kritiek op praktijken Honey
Google wijzigt Chrome-extensiebeleid na kritiek op praktijken Honey Nieuws van 12 maart 2025
Meer producten en artikelen
Beveiliging en antivirus Networking en security Internet Google Chrome Extensie Hack Hackers Malware

Reacties (34)

-Moderatie-faq
34
34
23
2
0
6
Wijzig sortering
KeizerWilmer 11 april 2025 22:01
Hier de lijst met de 35 extensies waar het omgaat.
The Zep Man
@KeizerWilmer11 april 2025 22:54
Veel van die domeinen staan al op badware lijsten. Ik zie twee opties (niet exclusief aan elkaar over de gehele lijst):

1.
Domeinen en extensies gebruikt door scammers.

2.
Domeinen en extensies gebruikt door red teams om beveiliging te testen.

Nu heeft een beetje organisatie een via policy afgedwongen lijst van toegestane extensies en wordt de rest geblokkeerd. Dat kan voor Chrome en voor Edge.

[Reactie gewijzigd door The Zep Man op 11 april 2025 23:37]

the_stickie @The Zep Man12 april 2025 17:00
Nu heeft een beetje organisatie een via policy afgedwongen lijst van toegestane extensies en wordt de rest geblokkeerd. Dat kan voor Chrome en voor Edge.
Jammer genoeg gebeurt het beheer hiervan veel te weinig.
mraix @The Zep Man13 april 2025 16:29
een beetje organisatie...

ik denk niet dat veel gebruikers thuis zo n organisatie hebben...
PVTD @mraix13 april 2025 21:32
Mensen hebben gewoon de juiste kennis niet van extensions. De hoeveelheid aan push notifications mensen "allowed" hebben die constant melden dat ze een virus hebben van zogezegd hun McAfee antivirus is 9/10 klanten die wij hebben. Hetzelfde principe van cookies. Alles maar snel op "ok" klikken om sneller te browsen. Heel jammer dit maar het is ook snel allemaal opgekomen. Ik snap jouw redenering, maar leg dit uit net voor het nieuws op TV en dit zou misschien al de helft afschrikken. Minder tandpasta reclame, meer awareness van technologie en zijn gevaren.
L0g0ff @KeizerWilmer12 april 2025 16:39
En als ik met mijn Firefox naar een van die domeinen ga uit dat lijstje dan krijg ik door mijn ublock direct een blokkade met een vlaggetje "badware".

En daarom is een adblocker niet iets wat geblokkeerd zou mogen worden door je browser.

/Edit: ik doel op het nieuwe chrome beleid btw

[Reactie gewijzigd door L0g0ff op 12 april 2025 16:40]

necessaryevil @L0g0ff12 april 2025 18:26
Gelukkig is Chrome gebaseerd op Chromium, en dat is open source. Ik gebruik zelf Brave, een implementatie van Chromium. Add-blockers worden door Brave wel ondersteund.
Cerberus_tm @necessaryevil13 april 2025 00:56
Maar zit het ding dat adblokkers verzwakt niet in het deel van de code van Chromium dat Brave ook gebruikt, of hoe werkt dat?
necessaryevil @Cerberus_tm13 april 2025 16:14
Ik heb het even moeten opzoeken, Sowieso heeft Brave zijn eigen ingebouwde add-blocker. Ik lees hier dat op dit moment de ondersteuning van oude extensions slechts is uitgeschakeld. Pas later wordt de ondersteuning helemaal uit Chrome/Chromium gegooid, Brave geeft aan om dan zelf iets willen te gaan bakken.
Cerberus_tm @necessaryevil14 april 2025 02:23
OK interessant, dank. (Ik zou alleen niet echt weten waarom ik niet gewoon Firefox zou gebruiken.)
haam @Cerberus_tm13 april 2025 11:23
Manifest 3
mraix @L0g0ff13 april 2025 16:30
gebruik brave.

mijn fall back als firefox moeite heeft met n site.
tomvld @mraix14 april 2025 11:05
Maar dan is er dus helemaal niets meer te kiezen. Ik heb ik met enige regelmaat een probleempje met Firefox op sommige lui ontwikkelde websites, maar dat heb ik er graag voor over als we een monopolie kunnen voorkomen...
Niema @KeizerWilmer11 april 2025 23:04
Volgens mij herken ik een paar extensies van bepaalde sketchy pop up ads op een website die ik recent bezocht
_Pussycat_ @KeizerWilmer12 april 2025 03:00
Dankjewel, ik ga ze eens proberen!
GoBieN-Be 11 april 2025 21:30
Ik vind de tekst niet helemaal duidelijk. Dus als ik goed begrijp:
Ze zijn wel beschikbaar in de Chrome Web Store, maar ze zijn niet te vinden via een zoekopdracht in die Chrome Web Store en komen ook niet voor in categorieën of lijsten. Terwijl één van die extensies wel Featured by Google is.

Iemand weet dus duidelijk deze 'bug' (laten we het maar zo noemen), te misbruiken.

[Reactie gewijzigd door GoBieN-Be op 11 april 2025 21:31]

maartenvdk @GoBieN-Be11 april 2025 22:04
Dat kan goed, als je je extentie unlist is hij nog wel via search engines te vinden, alleen niet in de zoekfunctie van de store.
KeizerWilmer @maartenvdk11 april 2025 22:14
De extensies waren niet te vinden via zoekmachines omdat ze niet geïndexeerd waren.
Gebruikers kunnen ze namelijk niet terugvinden omdat ze niet geïndexeerd zijn door zoekmachines en ook niet zijn terug te vinden in de Chrome Web Store.
Aangezien ze dus niet vindbaar zijn, vermoed ik dat de extensies geïnstalleerd zijn door bijvoorbeeld direct op de link te klikken via phishing, of zijn geïnstalleerd door malware.
Mugiwaraya @KeizerWilmer11 april 2025 22:35
Die domeinen lijken verdacht veel op domeinen die Indiase scams gebruiken, waarbij je zogenaamd een “virus “ op je pc hebt, vervolgens een scamlijn moet bellen waar ze je zogenaamd een antivirus abonnement aansmeren.
William_H @Mugiwaraya11 april 2025 23:19
Ah, die bekende extensies.
Menig support afdeling die die truc kent. Heel vervelend om te hebben, maar makkelijk op te lossen.
maartenvdk @KeizerWilmer12 april 2025 05:44
Ik zie dat het artikel dat vermeldt, maar dat is niet helemaal hoe de Chrome store werkt. Ze indexeren alsnog, ook als je het uit de store zoekfunctienhaalt. Er is geen manier om een gepubliceerde extentie niet te indexeren (hoewel hij nogsteeds onvindbaar kan zijn omdat zoekmachines er niet bepaald hoge waarde aan hechten).
Voor een van mijn extenties zijn dit de opties:
https://imgur.com/a/4doYlxM
Dutch_CroniC @KeizerWilmer12 april 2025 14:43
Ja dat, of een random site die je locatie wil weten. Zat mensen die gewoon op Ja drukken.
Xfade @GoBieN-Be11 april 2025 22:13
kan best iemand zijn die op tiktokkie een extentie promote die de wereld beloofd en gelijk een linkje geeft. Genoeg die hem installeren. Lekker data harvesten.
kodak
12 april 2025 12:52
Dat een onderzoeker meerdere onbetrouwbare browser extensies buiten de officiele app winkels kan vinden is niet heel bijzonder. Veel van deze extensies staan daarom al in publieke blacklist, waar nog veel meer van deze extenties in staan.

Wat het nmm bijzonder maakt zijn de beweringen die de onderzoeker doet over het miljoenen aantal gebruikers. Wat nieuws als Tweakers ook over neemt. En juist daar over staat geen enkele verduidelijking waaruit de onderzoeker die grote aantallen uit op maakt.

Als je als onderzoeker een extensie weet te krijgen en onderzoeken dan heb je niet zomaar inzicht in hoeveel andere gebruikers er zijn. Dan moet je beschikken over een betrouwbare extra bron. Het lijkt me niet dat als die onbetrouwbare app winkels aantallen noemen die spontaan wel betrouwbaar zijn. Dus waarop zijn die mogelijke miljoenen gebruikers dan wel gebaseerd?
Lrrr @kodak12 april 2025 15:06
Volgens het bronartikel staan de betreffende extensies gewoon in de officiële Chrome Web Store van Google, alleen moet je wel de directe url hebben (je kan ze niet via de zoekfunctie vinden).

Via die url zal je vervolgens kunnen zien hoe vaak die extensies geïnstalleerd zijn (dat kan bij alle extensies die in de Chrome Web Store staan).

[Reactie gewijzigd door Lrrr op 12 april 2025 15:06]

kodak
@Lrrr12 april 2025 20:05
Ik las zowel in het artikel als bron het unlisted en een specifieke url moeten kennen als niet via de officiele stores te downloaden.

Maar dit geeft wel een vergelijkbaar probleem waardoor de aantallen nog steeds niet duidelijk betrouwbaar zijn. Veel extensies die wel te vinden zijn halen deze aantallen aan gebruikers of downloads of installaties niet eens. Er is nog steeds geen duidelijkheid voor het hoge aantal. Als een criminele ontwikkelaar vervolgens ook nog een extensie featured krijgt mag wel erg terughoudend verwacht ik toch wel betere onderbouwing om die aantallen te gebruiken alsof ze niet gemanipuleerd zijn.

Het manipuleren van downloads voor onbetrouwbare extensies is te verwachten. De bedoeling is namelijk dat gebruikers de extensies genoeg gaan vertrouwen, bijvoorbeeld door te doen alsof er heel veel andere gebruikers zijn. Er is ook al vaker over geschreven. En google heeft voor zover ik weet ook nog nooit aangegeven dat die statistieken erg betrouwbaar zijn.

[Reactie gewijzigd door kodak op 12 april 2025 20:24]

Wazzim 11 april 2025 22:39
Ben een keer gehackt door een soortgelijke extensie (cookies gestolen en toen session hijacks om geld te stelen). De criminele organisaties gebruiken influencers e.d. om de link te promoten, bij mij had de extensie ook een heleboel reviews inclusief relevante comments bij de reviews. Het lijkt zo op het eerste oog betrouwbaar.
kuurtjes @Wazzim11 april 2025 23:05
Ze gebruiken veelal gehackte of gekochte accounts die al een redelijk succesvolle extensie hebben. Hier een voorbeeldje: https://www.micahcantor.com/blog/extension-developer-emails/
docdigit 12 april 2025 18:50
Volgens mij heeft het te maken met de Download app voor Google TV Streamer en oudere versies. Hiermee kun je allerlei apps op de stick zetten die normaliter niet voor die hardware beschikbaar zijn. Die app is onlangs uit de Google Play Store gehaald en wordt nu via alternatieve links aangeboden.
blorf 12 april 2025 00:54
Het belachelijke eraan is dat alle browser-extensies een redundante functionaliteit bieden die het OS zelf ook al kon regelen. Er is werkelijk geen extensie die iets speciaals doet. Ze willen allemaal alleen maar op-out permissies hebben.
DvanRaai89 @blorf12 april 2025 06:54
Het belachelijke eraan is dat alle browser-extensies een redundante functionaliteit bieden die het OS zelf ook al kon regelen. Er is werkelijk geen extensie die iets speciaals doet. Ze willen allemaal alleen maar op-out permissies hebben.
Heb je het hier enkel over deze 35 extensies? Of alle extensies in het algemeen? In je reactie lijk je dat laatste te bedoelen, wat pertinent onwaar is.

[Reactie gewijzigd door DvanRaai89 op 12 april 2025 06:59]

blorf @DvanRaai8912 april 2025 08:38
Verzin maar eens een activiteit van een browser-extensie die niet gewoon een programma kan zijn dat direct op het OS draait maar een level hoger. In de space van een browser, wat al een programma is met verheven permissies boven andere programma's.

[Reactie gewijzigd door blorf op 12 april 2025 08:39]

DvanRaai89 @blorf12 april 2025 09:25
Verzin maar eens een activiteit van een browser-extensie die niet gewoon een programma kan zijn dat direct op het OS draait
Hoe ga jij webpaginas selectief donker maken zonder jezelf te MITM'en en HTTPS-packets te decrypten? Ook kan uBlock Origin net wat meer dan blokkeren op netwerk niveau. Selectief blokkeren van hetzelfde domein is v.z.i.w. niet mogelijk (m.u.v. packetgrootte natuurlijk). Ook extensies als Greasemonkey/Violentmonkey zijn onmisbaar, leg jij maar uit hoe dit op OS-niveau kan.
[...] wat al een programma is met verheven permissies boven andere programma's.
Browser programma met verheven permissies? Dat valt hartstikke mee. Ja browsers kunnen veel, maar alle programma's kunnen packets versturen. Windows kent niet echt zo'n robust permissie systeem zoals we op de mobiele OS'en gewent zijn, maar ook daar is voor internet geen toestemming nodig.

Edit: @blorf zou je in willen gaan op mijn eerste alinea?
Verder ben ik ook wel benieuwd naar waar je dit vandaan hebt:
[...] wat al een programma is met verheven permissies boven andere programma's.

[Reactie gewijzigd door DvanRaai89 op 12 april 2025 23:45]

blorf @DvanRaai8912 april 2025 09:37
Mobiel is helemaal krom. Daar kan je helemaal geen programma's draaien. Alleen m aar UI-extensies. Het beeldscherm is daar niet compatible mee. :+

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq