
Google y Microsoft han retirado ModHeader, una popular extensión de edición de encabezados que se ha instalado aproximadamente 1,6 millones de veces en Chrome y Edge. Esto se debe a que los investigadores han descubierto que la versión oficial de la tienda incluye un recopilador de historial de navegación oculto.
El coleccionista estaba inactivo. Una lista de permitidos vacía lo desactiva y no hemos encontrado evidencia de que haya recopilado o enviado un solo dominio de navegación.
El análisis fue realizado por la empresa de seguridad británica Stripe OLT, que cotejó el código con la firma de la propia tienda web de Google para garantizar que el recopilador recibiera una extensión genuina y no una falsificada.
Esa revisión cubre la versión de Chrome y sus aproximadamente 900.000 usuarios. Los rastreadores de terceros colocan otros 700.000 aproximadamente en Edge. Microsoft eliminó la lista de Edge el 3 de julio y Google eliminó Chrome una semana después, el 10 de julio.
La versión 7.0.18 (ID de extensión idgpnmonknjnojddfkpgkljpfnnfcklj) continúa editando encabezados HTTP como se anuncia. El mismo código de fondo reducido también incluye un segundo sistema. En la primera ejecución, toma las huellas digitales del dispositivo y carga una clave de cifrado codificada. Mientras navega, los dominios se recuperan de cada página que abre y se almacenan localmente cifrados (hasta 1000 dominios diferentes).
Una vez al día, el programador publica la lista cifrada incluida con la huella digital en api.stanfordstudies(.)com y borra la copia local. El tiempo de carga se compensa para cada instalación, por lo que cuando el recopilador está activado, no todos los navegadores que lo ejecutan mostrarán señales al mismo tiempo. Desmontajes separados, la versión 7.0.18 de HackIndex y la 7.0.17 del investigador Yunus Aydin, describen el mismo proceso.
El recopilador se ejecuta solo si el navegador coincide con una entrada en la lista interna permitida y la lista se envía vacía. La verificación falla siempre, por lo que la canalización se detiene antes de recopilar un único dominio. Agregar datos a esta lista es un cambio menor que no requiere nuevos permisos ni clics del usuario y se proporciona como una actualización periódica. Las claves codificadas, las URL de los terminales, el programador y la lógica de almacenamiento ya están en la máquina.
No todo estaba dormido. Al instalar, actualizar o desinstalar, la extensión hacía ping al segundo dominio extensiones-hub(.)com con el producto, la versión y el navegador. Y el script que se ejecuta en cada página ya estaba registrando los metadatos de la solicitud real en texto sin formato en el almacenamiento local, por lo que esa parte claramente se estaba ejecutando.
Los verificadores automatizados califican a ModHeader como de bajo riesgo, y algunos le otorgan una calificación alta de 95 sobre 100. Cada parte del diseño puede fallar diferentes tipos de comprobaciones. Los datos están cifrados, por lo que el escáner reconoce el texto cifrado. Las cargas están cerradas para que no quede nada en la zona de pruebas.
El código malicioso se reduce a la base de código legítima. El punto final no tenía una reputación maliciosa establecida que señalar. Y las extensiones comunes firmadas se leen como confiables. La firma de una tienda demuestra de dónde proviene un archivo, no su contenido.
Adónde lleva el dominio
Stripe OLT vinculó su dominio a una infraestructura real y mantenida. Stanfordstudies(.)com no tiene vínculos con Stanford. Esta es una reutilización del antiguo dominio frente al backend de OpenSearch, con extensiones-hub(.)com configurado para publicidad.
Los dos puntos finales de API se resuelven en el mismo servidor de Amazon en el momento del análisis y pueden atribuirse a un operador sin pruebas. Un pequeño número de señales débiles apuntan en términos generales a operadores de habla china, como la configuración regional de chino simplificado, un marcador «sal» escrito con el carácter «盐» y proveedores de correo electrónico originarios de China. Los investigadores no nombran al grupo, y nosotros tampoco.
Las señales de alerta ya estaban ahí. ModHeader recibió quejas por insertar anuncios en los resultados de búsqueda en 2023 y, según se informa, comenzó a ofrecer soporte publicitario en esa época. No se ha confirmado quién lo heredó y los investigadores no afirman su autoría original.
El propio sitio de ModHeader todavía publica un plan publicitario que dice que no recopila datos del usuario, lo cual es difícil de contrarrestar con el recopilador de historial de navegación integrado (incluso el que está desactivado). El desarrollador no ha respondido públicamente a los hallazgos al momento de la publicación.
Hacker News se comunicó con ModHeader para hacer comentarios y hacer más preguntas a Stripe OLT y actualizará este artículo si recibimos una respuesta.
En 2021, Brian Krebs explicó cómo las extensiones populares pueden adquirirse silenciosamente y convertirse en canales de datos. Esto es similar a ese patrón, pero agrega cifrado y una puerta que impide que los escáneres vean la carga. Sólo este año, se descubrió que un conjunto de extensiones de Chrome recopilaban datos bajo la etiqueta de «análisis anónimo», y otro conjunto se hizo pasar por Workday y NetSuite para robar cookies de sesión. Los editores de encabezados y los administradores de cookies requieren un acceso generalizado para trabajar, y el alcance de la explosión es amplio si se pierde la confianza.
que hacer
Si tiene ModHeader, elimínelo de Chrome y Edge. Es posible que su navegador ya lo haya desactivado. La desinstalación borrará todos los datos almacenados, así que verifique que la sincronización del perfil o las políticas de extensión administradas no restauren sus datos.
Si pegó secretos, claves API, tokens de portador y cookies de sesión, rótelos a medida que los investigadores descubran que la función de historial de encabezados almacena encabezados HTTP completos en el disco.
Si es un defensor, bloquee y registre stanfordstudies(.)com y extensions-hub(.)com en DNS y servidores proxy, y busque ID de extensión y registros para POST en api.stanfordstudies(.)com/app/log. Stripe OLT ha publicado consultas de búsqueda KQL listas para ejecutar para Defender y Sentinel.
Takedown maneja esta extensión. El diseño es la parte que debería preocupar a la gente. Un recopilador completo verificado en la tienda se encuentra entre las herramientas populares y confiables, y parece diseñado para activarse cuando se agregan actualizaciones periódicas a la lista vacía. Los escáneres automatizados lo han calificado como de bajo riesgo, y las siguientes herramientas creadas de esta manera pueden parecer igual de limpias.
La lección real es limitada. Las revisiones de extensiones deben buscar rutas de código inactivo que no se activan durante las pruebas, nuevos puntos finales de llamada a casa y funciones que se pueden agregar en actualizaciones periódicas después de cambios de propiedad.
Source link
