Septynerius metus kenkėjiška kampanija tyliai brendo naršyklių ekosistemoje, kol galiausiai smogė milijonams žmonių. Užpuolikai nesinaudojo apgaulingais laiškais ar netikrais pranešimais, jie rinkosi kantrybę. Strategija buvo paprasta, bet pavojinga, pirma sukurti patikimo įrankio įspūdį, o tik vėliau jį paversti šnipinėjimo priemone.
Grupė „ShadyPanda“ skelbė plėtinius, kurie atrodė kaip įprasti darbo ar produktyvumo įrankiai. Jie veikė tvarkingai, rinko gerus įvertinimus, augino atsisiuntimų skaičius ir taip pelnė vartotojų pasitikėjimą. Tik po ilgo laiko kodas buvo pakeistas į tokį, kuris jau vykdė nepastebimą, bet agresyvų sekimą.
Šis atvejis tapo perspėjimu visiems, kurie „Chrome“ ar kitose naršyklėse diegia plėtinius nepagalvodami. Vien tai, kad programa turi aukštą reitingą, dar nereiškia, jog ji išliks saugi po metų ar dviejų. Būtent toks vėluojantis smūgis ir yra didžiausia šios istorijos pamoka.
Kaip buvo apgauti vartotojai?
„Google“ ir „Microsoft“ taiko patikros procedūras, bet jos daugiausia veikia pačioje plėtinio paskelbimo pradžioje. Kai į parduotuvę įkeliama švari versija, vėlesni atnaujinimai ne visada stebimi taip pat griežtai. „ShadyPanda“ tuo pasinaudojo, nes po sėkmingo starto plėtiniai tapo beveik nematomi priežiūros sistemoms.
Tyrėjų komanda „Koi“ nuodugniai peržiūrėjusi pakeitimų istorijas pamatė, kad vieninteliai įspėjamieji ženklai buvo tylūs, retai pasirodantys atnaujinimai. Jie buvo įkeliami po mėnesių ar net metų stabilaus veikimo, todėl vartotojai jų nesureikšmindavo. Galiausiai taip buvo užkrėsta apie 4,3 mln. žmonių, dažnai net nesupratus, kada ir kaip tai nutiko.
Pirmoji banga ir jos mastas
Garsiausia kampanija prasidėjo kukliai, vos penki plėtiniai surinko apie 300 tūkst. įdiegimų, o trys iš jų buvo vertinami itin gerai. Ilgą laiką jie darė būtent tai, ką žadėjo, todėl pasitikėjimas atrodė pagrįstas. Tačiau 2024 metų viduryje atnaujinimas suteikė jiems beveik neribotą prieigą prie naršyklės turinio ir veiksmų.
Kenkėjiškas kodas galėjo atsisiųsti ir vykdyti bet kokias komandas iš „ShadyPanda“ serverių, keisti puslapių turinį net ir šifruotuose tinklalapiuose bei kurti detalius vartotojų elgsenos profilius. Nors plėtiniai vėliau buvo pašalinti iš parduotuvių, tai problemos neišsprendė, nes jie liko įdiegti kompiuteriuose. Parduotuvė plėtinį gali išimti, bet negali jo pašalinti už vartotoją.
Antroji banga „Edge“ naršyklėje
Dar didesnė grėsmė išryškėjo vėliau, kai 2023 metais „Edge“ plėtinių parduotuvėje pasirodžiusi serija surinko daugiau nei 4 milijonus įdiegimų ir dalis jų vis dar prieinami. Bent dviejuose buvo rasta šnipinėjimui būdingų funkcijų, o agresyviausias plėtinys „WeTab“ turėjo apie 3 mln. vartotojų. Jis fone fiksavo lankomus adresus, paieškas ir net pelės judesius.
Surinkti duomenys buvo siunčiami į 17 serverių Kinijoje, tarp jų ir į infrastruktūrą, susietą su „Baidu“ bei pačiu „WeTab“. Tyrėjai įspėja, kad šie plėtiniai gali bet kada gauti naują atnaujinimą su tuo pačiu užpakaliniu įėjimu, koks anksčiau buvo panaudotas „Clean Master“ atveju. Tai reiškia, kad pavojus nėra praeitis, jis gali sugrįžti akimirksniu.
Kodėl sistema leidžia tokius išpuolius?
Pagrindinė problema yra konstrukcinė, parduotuvės tikrina plėtinius paskelbimo metu, bet vėliau nuosekliai neprižiūri kiekvienos naujos versijos. „Chrome Web Store“ bando tikrinti atnaujinimus, tačiau net ir ten senesnės plėtinių versijos gali likti vartotojų naršyklėse. „Edge“ sureagavo tik tuomet, kai istorija tapo vieša, o tai rodo, kad kontrolė dažnai priklauso nuo skandalo masto.
Ši situacija parodo, kaip lengvai pasitikėjimas gali būti paverstas ginklu. Didžiausia rizika slypi ne technologijų trūkume, o klaidingame jausme, kad kažkas nuolat saugo tai, ką įdiegiame. Jei plėtinys atrodo naudingas ir gerai įvertintas, dar nereiškia, kad jis toks išliks po kito atnaujinimo, todėl vartotojų budrumas čia yra paskutinė, bet svarbiausia gynybos linija.
