Разработчики Mozilla удалили 23 дополнения для браузера Firefox, которые втайне от пользователей отслеживали историю просмотров и отправляли данные на удаленные серверы. При этом описание одной из надстроек обещало «активную защиту от вредоносного ПО, поддельных или фишинговых сайтов, целью которых является кража персональных данных». Число жертв незаконной слежки превышает 500 тыс. человек.

На подозрительное поведение надстройки под названием Web Security обратил внимание Раймонд Хилл (Raymond Hill), разработчик блокировщика рекламы uBlock Origin. Mozilla в своем официальном блоге список лучших расширений для защиты приватности, в котором присутствовал плагин Web Security. Он заметил, что плагин отправляет данные о каждой загруженной странице на сторонний сервер.

Немецкий эксперт по информационной безопасности Майк Кукец (Mike Kuketz) проанализировал деятельность надстройки более тщательно. Он пришел к выводу, что передача осуществляется при каждом новом переходе и проходит по открытому каналу на IP-адрес в Германии. Сами данные при этом шифруются.

Обычно расширения, призванные блокировать вредоносный контент, могут отправлять URL-адреса на удаленный сервер для проверки, не входят ли они в черный список. Однако Web Security фиксировал не только ссылку на текущий сайт, но и предыдущий URL, с которого был сделан переход, а также привязывал эти данные к идентификатору пользователя. В начале августа расширение отслеживало историю просмотров более 222 тыс. человек.

Издание Bleeping Computer обратилось за комментариями к разработчику Mozilla Робу Ву (Rob Wu). Специалист провел аудит не только Web Security, но и других плагинов с аналогичным шаблоном для отправки сведений. Ему удалось выявить еще 22 дополнения, которые скрывали за полезными функциями вредоносную деятельность. По словам исследователя, все они делятся на две группы. Аддоны первой просто собирали URL-адреса, а второй могли еще и выполнять удаленный код.

«Огромное количество ложных идентификаторов, обфусцированных URL-адресов и констант, а также скрытых потоков данных не оставили сомнений в намерениях авторов: очевидно, они пытались скрыть вредоносный код в своем расширении», — добавил Ву.

Специалисты немедленно удалили выявленные надстройки с сайта Mozilla и отключили их в браузерах пользователей. Те или иные плагины из списка были установлены в общей сложности у 500 тыс. человек.

Это не первый раз, когда расширения Firefox удаляют за несоблюдение политики конфиденциальности. В июле этого года за аналогичную деятельность Mozilla отключила аддон Stylish. Расширение собирало сведения для компании SimilarWeb.

Категории: Вредоносные программы, Кибероборона