Một nhà nghiên cứu bảo mật vừa phát hiện mạng lưới gồm 35 Chrome extensions đáng ngờ, với tổng cộng hơn 4 triệu lượt cài đặt. Các extension này tự nhận là công cụ tìm kiếm, trình chặn quảng cáo, tiện ích bảo mật hay quét phần mở rộng – nhưng lại có chung dấu hiệu bất thường, kết nối về một tên miền không sử dụng và được lập trình theo cách khó phân tích.
Chrome extensions không công khai, mã hóa cao và xin quyền truy cập nguy hiểm
Phát hiện này đến từ John Tucker, người sáng lập công ty bảo mật trình duyệt Secure Annex, trong lúc hỗ trợ khách hàng kiểm tra một tiện ích “bảo mật”. Điều đầu tiên gây nghi ngờ là có 2 extensions không được liệt kê công khai – không thể tìm thấy qua Chrome Web Store, chỉ cài đặt được bằng liên kết trực tiếp.
Khi phân tích sâu hơn, Tucker phát hiện thêm 33 Chrome extensions khác có chung mã nguồn, kết nối đến cùng máy chủ, xin các quyền hệ thống giống nhau và nhiều extension còn được gắn nhãn “Featured” – vốn thường chỉ cấp cho nhà phát triển được Google phê duyệt.
Các extension này yêu cầu quyền truy cập sâu như tab, cookie, bộ nhớ, script, alarm, APIs quản lý tiện ích – cho phép chúng can thiệp sâu vào trình duyệt, tạo điều kiện bị khai thác.
Dù chưa có bằng chứng rõ ràng về hành vi đánh cắp dữ liệu, Tucker phát hiện một số file JavaScript trong các extension có khả năng gửi dữ liệu và tải mã từ các máy chủ đáng ngờ, bao gồm tên miền bí ẩn unknow.com.
unknow.com – điểm nối kỳ lạ giữa toàn bộ mạng lưới extensions
Toàn bộ 35 Chrome extensions đều tham chiếu tới unknow.com, một domain không có hoạt động, không có nội dung và đang được rao bán. Tucker gọi đây là “đầu mối quan trọng để liên kết cả mạng lưới”, dù bản thân domain này không đảm nhận chức năng rõ ràng trong mã.
Ngoài ra, mã nguồn của các extensions đều được obfuscate nặng (mã hóa khó hiểu) – dấu hiệu thường thấy trong phần mềm độc hại nhằm giấu đi hành vi thực sự.
Secure Annex đã công khai toàn bộ danh sách ID extensions và permhashes trên blog công ty và bảng tính Google Sheet công khai. Nếu bạn đang sử dụng bất kỳ extension nào trong danh sách này, hãy gỡ cài đặt ngay lập tức vì mức độ rủi ro là rất lớn.
Việc phát hiện mạng lưới 35 Chrome extensions nguy hiểm là lời cảnh báo rõ ràng cho cộng đồng người dùng và doanh nghiệp. Những tiện ích có vẻ “vô hại” hoặc thậm chí được gắn nhãn “uy tín” vẫn có thể tiềm ẩn rủi ro an ninh nghiêm trọng. Việc kiểm tra định kỳ extensions, hạn chế cấp quyền truy cập và theo dõi hành vi trình duyệt là cách tốt nhất để tự bảo vệ mình trước những hiểm họa tiềm ẩn.