Výzkumník předvedl škodlivé rozšíření prohlížeče

Bezpečnostní výzkumník Zoltán Balázs z maďarské pobočky společnosti Deloitte vyvinul dálkové ovládaný modul, který funguje jako rozšíření webového prohlížeče a dokáže upravovat webové stránky, stahovat a spouštět soubory, měnit přihlašovací údaje k účtům, obcházet bezpečnější dvoustupňové zabezpečení vyžadované některými službami a mnoho dalších nebezpečných věcí.

Balázs tento testovací malware vytvořil proto, aby upozornil na bezpečnostní rizika spojená s rozšířeními prohlížečů a vyzval antivirové společnosti, aby se hrozbou tohoto druhu začaly zabývat s mnohem větší vážností. Balázs plánuje zveřejnění zdrojového kódu modulu na GitHubu v souvislosti se svým vystoupením na bezpečnostní konferenci Hacker Halted v Miami příští týden v úterý. Kód již údajně poskytl v předstihu společnostem nabízejícím antivirové programy.

V minulosti se již uskutečnilo několik útoků využívajících škodlivé rozšíření prohlížeče. Například v květnu upozornila nadace Wikimedia na rozšíření pro Google Chrome, které do stránek Wikipedie vkládalo neautorizované reklamy. Kyberzločinci prozatím většinou postupovali podobně jako v případě Wikipedie – vkládáním podvržených reklam a falešným klikáním na ně, případně úpravou výsledků hledání, do kterých opět vkládali podvržené odkazy.

Balászův projekt ovšem předvádí mnoho dalších možností zneužití, která mohou přejít ve velmi závažné útoky na jednotlivé uživatele. Výzkumník připravil své testovací rozšíření pro Firefox, Chrome a Safari, neměl by údajně být příliš velký problém vytvořit tento malware i pro Internet Explorer. Modul lze zneužít k zachytávání souborů cookie s údaji o relacích v jednotlivých webových službách a dokonce i obejít dvoustupňové ověření vyžadované k přihlášení do některých služeb, které nabízí například Google. To by mohlo útočníkům umožnit, aby se zmocnili účtů na nejrůznějších webech.

Verze pro Firefox navíc dokáže z vestavěného správce hesel získat aktuálně uložená hesla, stahovat a spouštět soubory (pouze ve Windows), upravovat obsah webových stránek, pořizovat záběry webovou kamerou pomocí flashové aplikace vložené do stránky, fungovat jako server proxy, který útočníkovi umožní komunikovat se servery ve vnitřní síti napadeného. Funguje i ve verzi pro systém Android, kde postrádá část funkčnosti, zato dokáže například zjistit zeměpisnou polohu zařízení.

Verze pro Chrome prozatím dovede pouze stahovat, odesílat a spouštět soubory. „Ostatní funkce bude možné také vytvořit, zatím jsem na to ale neměl čas,“ vysvětlil Balász. Podpora technologie Native Client, která umožňuje spouštět aplikace v sandboxu, ovšem podle Balásze umožní něco navíc, například účinné dešifrování zakódovaných hesel. Prohlížeč potom lze použít při distribuovaném prolamování hesel odcizených jinde. „Je možné využívat výkon procesoru, ve kterém je spuštěn prohlížeč,“ doplnil Balász.

Příprava verze pro Safari byla údajně jednoduchá, protože pro tento prohlížeč je možné jednoduše konvertovat moduly pro Chrome.

Způsob, jak rozšíření do prohlížeče dostat, záleží na konkrétním softwaru. Ve Firefoxu je nejjednodušší přesvědčit uživatele, aby si malware nainstaloval sám. Tento prohlížeč umožňuje instalaci modulů z cizích zdrojů a uživatelé na ni jsou zvyklí. Chrome umožňuje instalaci pouze z oficiálního tržiště modulů, proto nelze podvrhnout modul, který neprošel kontrolou v Googlu. V tomto případě je možné zvolit variantu uložení souborů rozšíření na správná místa v počítači a úpravy konfiguračních souborů prohlížeče. I když je to teoreticky možné, Balászovi se to prozatím nepodařilo. Vlastní nicméně jiný škodlivý software, který takové úpravy provést umí a kterým se může inspirovat.

Balász chce apelovat nejen na výrobce prohlížečů, ale i antivirových aplikací, aby této problematice věnovali větší pozornost a chránili uživatele co možná nejlépe.