Groot aantal Chrome-extensies bespioneren gebruikers

Een securitybedrijf meldt dat meer dan zeventig add-ons uit de Chrome Web Store in de praktijk surfgeschiedenis en zakelijke inloggegevens doorsturen. De extensies zijn door Google uit de Chrome Web Store verwijderd.

Het securityprobleem werd ontdekt door Awake Security dat zijn bevindingen met Reuters deelt. De meer dan zeventig browserextensies hadden samen zo'n 32 miljoen downloads. Het gaat onder meer om add-ons die zogezegd waarschuwen voor malafide websites, of waarmee je bestanden naar een ander formaat kan omzetten.

Security omzeilen

Op de achtergrond werden browsergegevens doorgespeeld. Daaronder ook data met inloggegevens voor zakelijke tools. De daders deden ook hun best om virusscanners en andere securitytools te omzeilen. Op een thuiscomputer op een thuisnetwerk werd er informatie doorgestuurd. Op een bedrijfslaptop of op een bedrijfsnetwerk, waar doorgaans meer securitydiensten het verkeer controleren, werd er niets verzonden.

"Dit toont aan hoe aanvallers enorm eenvoudige methodes kunnen gebruiken om, in dit geval, duizenden slechte domeinen te verbergen," zegt Gary Golomb, medeoprichter en chief scientist bij Awake tegenover Reuters.

Terugkerend probleem bij Google

Google zelf heeft de betrokken extensies meteen verwijderd zodra het vorige maand er over werd ingelicht. Maar wie de extensies heeft gemaakt of ze misbruikt is niet bekend, volgens Awake werd er valse contactinformatie opgegeven bij het indienen.

Op de vraag van Reuters waarom Google de malafide extensies niet zelf had ontdekt, reageert Google niet. Nochtans is het een probleem dat zich regelmatig voordoet. Na eerdere incidenten beloofde het bedrijf in 2018 meer te doen om de Chrome Web Store beter te beveiligen, met meer menselijke controle.

Maar ondanks die inspanningen is het zelfs niet het eerste grote incident dit jaar. In februari nog moest het bedrijf vijfhonderd extensies weghalen nadat Cisco-dochter Duo Security hen wees op tientallen extensies die advertentiefraude veroorzaakten. De boodschap blijft dus om voorzichtig te zijn met browserextensies van onbekende aanbieders. Dat geldt ook voor apps in Google Play.

Israëlische registrar ontkent

De criminelen achter de extensies zijn voorlopig onbekend. Wel zegt Awake Security dat alle vijftienduizend domeinnamen waar de extensies contact mee opnemen of data naar versluizen allemaal werden geregistreerd bij het Israëlische Callcom.

Reuters nam contact op met Gallcom, maar eigenaar Mosche Fogel ontkent alle betrokkenheid. "We zijn hier niet bij betrokken en zijn niet medeplichtig aan malafide activiteiten," klinkt het tegenover Reuters. De man kan geen indicaties terugvinden dat Awake hem de afgelopen maanden had gecontacteerd over het verdacht gedrag van de vijftienduizend domeinnamen. Reuters stuurde hem daarop tot drie keer de lijst met die namen, maar kreeg geen antwoord van de man.

In samenwerking met Datanews