Абонирайте се за нюзлетъра на "Булевард България", за да получавате селекция с най-интересните теми на седмицата през погледа на нашия екип:
Милиони потребители на Google Chrome са били обект на шпионска атакa, разкрива разследване, извършено от агенцията за киберсигурност "Awake Security". Тя е била осъществена чрез фалшиви приложения (add-ons), които са изтеглени 32 млн. пъти през последните няколко месеца. Разкритието е притеснително, тъй като най-популярният браузър се използва от много хора за обмен на чувствителна информация като имейли, пароли, данни за финансови преводи и др.
В отговор на тези обвинения от Google отвръщат, че през миналия месец са свалили над 70 опасни приложения от каталога си, след като са получили сигнал от Awake.
"Когато бъдем алармирани за приложения в Google Web Store, които нарушават нашите политики, предприемаме незабавни действия и тези случаи ни помагат да подобрим както ръчните, така и автоматизираните си анализи" каза пред агенция "Ройтерс" говорителят на Google Скот Уестоувър.
Повечето от разширенията са изглеждали по начин, който не е будел никакво притеснение. Според тяхното описание те трябвало да предупреждават потребителите за потенциално опасни сайтове, както и да конвертират файлове от един формат в друг. В действителност обаче те се насочвали към историята на посетените сайтове и идентификационните данни, като след това тази информация е била прехвърляна към вътрешни бизнес инструменти.
Позовавайки се на броя на изтеглянията Гари Голомб, съосновател на "Awake Security" и главен изследовател в компанията, твърди, че това е най-широкообхватната атака през магазина на Google, случвала се до момента.
От Google отказват да коментират какъв е размерът на щетите след пробива и защо компанията продължава да не остранява сама опасните приложения въпреки множеството обещания за по-строг контрол, давани през годините.
Все още не е ясно кой стои зад разпространението на зловредния софтуер. "Awake Security" споделят, че при предоставянето на приложенията на Google разработчиците са давали фалшиви данни за контакт и поради тази причина тяхното проследяване ще бъде много трудно.
"Всеки софтуер, който може да ти осигури достъп до нечий браузър, имейл или друга поверителна информация неизбежно ще се превърне в желана придобивка както за агенциите по сигурност, така и за организираната престъпност" споделя Бен Джонсън, бивш софтуерен инженер в Националната агенция по сигурност на САЩ и съосновател на компаниите за кибер сигурност "Carbon Black" и "Obsidian Security".
Гари Голомб добавя, че разширенията са проектирани така, че да не могат да бъдат засечени от антивирусните програми или от софтуера за сигурност, който оценява надеждността на уеб домейните.
"Хакерите биха могли да използват съвсем прости методи, целейки, както е в този случай, да скрият хиляди зловредни домейни" казва още Голомб.
Израелската връзка
Въпросните домейни, които са над 15 хиляди и са свързани помежду си, са били закупени от израелската компания Galcomm, позната официално като CommuniGal Communication Ltd. Гари Голомб е сигурен, че е нямало начин от компанията да не са знаели какво се случва.
От своя страна собственикът на Galcomm Моше Фогел е категоричен, че компанията не е направила нищо нередно.
"Galcomm не е нито извършител, нито съучастник в каквато и да е нелегална дейност" заявява Фогел. "Всъщност е точно обратното - ние всячески съдействаме на органите на реда и агенциите за сигурност, за да предотвратяваме подобни неща във възможно най-голяма степен".
Фогел казва още, че няма никакви документирани свидетелства за запитванията, които Голомб е отправил към неговата компания през април и май тази година, и е поискал да му бъде изпратен списък с имената на подозрителните домейни. От "Ройтерс" са изпратили списъка на Фогел три пъти, но нито веднъж не са получили задоволителен отговор.
Регулаторният орган за домейните в интернет ICAAN (Internet Corp for Assigned Names and Numbers) заявява, че е получавал малко оплаквания за Galcomm през годините, като никое от тях не е било свързано с използване на зловреден софтуер.
Проблем без решение
Фалшивите приложения са проблем, който става все по-сериозен. Докато в началото те просто пускаха нежелани реклами, то сега капацитетът им е доста по-заплашителен. Те могат не само да инсталират опасен софтуер или да засичат местонахождението на потребителя, но и да бъдат използвани с цел правителствен и корпоративен шпионаж.
Магазинът на Chrome е предпочитан фронт за хакерите от години. След като през 2018 г. едно от всеки 10 приложения бе докладвано като опасно, Google обяви, че ще подобри значително мерките за сигурност най-вече чрез увеличаване на проверките от страна на хора, а не само от машини.
През февруари тази година обаче независимият изследовател Джамила Кая, съвместно с Duo Security на Cisco Systems, разкри аналогична кампания в Chrome, чрез която са били откраднати данните на около 1,7 млн. потребители. Google се присъедини към разследването, което в крайна сметка откри над 500 фалшиви разширения. "Извършваме периодични проверки с цел откриване на разширения, използващи подобни технологии, кодове и алгоритми" каза тогава Скор Уестоувър след успешното приключване на случая.
През април Google се принуди да премахне мобилното приложение SuperVPN от Play Store след предупреждения на експерти за потенциалните рискове за потребителите. Над 100 милиона души са изтеглили безплатния клиент за виртуални лични мрежи, който е определян от специалисти по киберсигурност като "изключително опасен" софтуер.
Сигналът до компанията отново беше подаден от външна разследваща организация, а Google са забавили изтриването на app-a с два месеца въпреки информацията за злоупотреби.
