Plus de 100 extensions Chrome ont été liées à une campagne tentaculaire qui a collecté des données d'identité, ouvert un comportement de navigateur de type porte dérobée et, dans un cas, extrait des données de session Web Telegram en direct. Les chercheurs ont lié 108 modules complémentaires au même réseau de contrôle, avec environ 20 000 installations enregistrées sur le Chrome Web Store au moment de la publication des résultats.
Ce qui rend celui-ci plus dur, c’est la portée. Les extensions se présentaient sous forme d'outils Telegram, de jeux de machines à sous et de Keno, d'utilitaires de traduction, d'aides YouTube et TikTok et d'outils de page de base, ce qui a permis à l'opération de se fondre dans le type de choses que les gens installent sans trop y penser. Voir la liste complète ici.
Les chercheurs ont déclaré que les extensions étaient toujours actives lorsque le rapport a été publié et que des demandes de retrait avaient déjà été déposées. Cela donne à cette histoire un avantage très pratique pour les utilisateurs de Chrome qui n'ont pas vérifié leurs modules complémentaires depuis un certain temps.
Le pire comportement n'était pas du tout pareil
Les dégâts ne se sont pas limités à un seul tour. La recherche a révélé que 54 extensions collectaient les informations d'identité du compte Google après qu'un utilisateur avait cliqué sur un bouton de connexion, tandis qu'une extension axée sur Telegram exfiltrait les données de session Telegram Web actives toutes les 15 secondes. 45 autres incluaient une routine qui pouvait ouvrir des URL arbitraires au démarrage de Chrome, même si l'utilisateur n'ouvrait jamais l'extension ce jour-là.
D'autres modules complémentaires ont supprimé les protections de sécurité de sites comme Telegram, YouTube et TikTok avant d'injecter des superpositions, des publicités ou des scripts dans les pages. Un outil de traduction a également acheminé le texte soumis via le serveur de l'opérateur, transformant un simple assistant en un risque de surveillance.
Pourquoi cela devrait inquiéter les utilisateurs réguliers de Chrome
Le plus gros problème est de savoir à quel point l’appât avait l’air ordinaire. Ce n’étaient pas seulement des outils obscurs destinés aux utilisateurs expérimentés. La liste comprenait des jeux, des aides au navigateur, des clients de la barre latérale et des modules complémentaires de traduction, exactement le genre d'extras que les gens saisissent car la page du magasin a l'air soignée et la fonctionnalité semble utile.
Les extensions ont également tendance à disparaître en arrière-plan une fois installées. Dans ce cas, les chercheurs ont retracé l'activité de ce mélange d'outils jusqu'à la même infrastructure backend, qui a transformé une pile de modules complémentaires d'apparence aléatoire en une seule opération avec plusieurs façons de collecter des données ou de modifier l'expérience de navigation.
Vérifiez vos extensions maintenant
La prochaine étape la plus intelligente consiste à auditer ce qui est installé dans Chrome, en particulier tout ce qui est lié à Telegram, aux jeux légers, à la traduction ou aux utilitaires de la barre latérale qui demandaient un accès de connexion sans raison claire. La recherche répertorie 108 extensions par nom et identifiant et recommande de supprimer immédiatement toute correspondance.
Le cas le plus risqué semble être l’extension Telegram qui a exfiltré à plusieurs reprises les données de sessions Web. Toute personne qui l'a utilisé alors qu'elle était connectée à Telegram Web doit mettre fin aux autres sessions Telegram à partir de l'application mobile, et les utilisateurs qui se sont connectés à l'une des extensions liées à Google doivent vérifier l'accès au compte et révoquer tout ce qui ne leur est pas familier.
