Расширения для Chrome, Firefox и Edge, установленные почти миллион раз, обходят защиту и превращают браузеры в скраперы, которые собирают информацию с сайтов для коммерческих клиентов.

По данным аналитиков компании SecurityAnnex, 245 вредоносных расширений суммарно насчитывают около 909 000 загрузок. Все они предназначены для разных целей, включая управление закладками и буфером обмена, увеличение громкости и генератор случайных чисел. Но их объединяет использование опенсорсной библиотеки MellowTel-js, которая позволяет разработчикам монетизировать свои расширения.

Исследователи рассказывают, что монетизация строится на использовании расширений для скрапинга сайтов в пользу коммерческих клиентов. В их число, по словам основателя MellowTel Арсиана Али (Arsian Ali), входят ИИ-стартапы.

Аналитики SecurityAnnex пришли к этому выводу, обнаружив тесные связи между MellowTel и компанией Olostep, которая позиционирует себя как «самый надежный и экономически эффективный API для скрапинга в мире».

Olostep утверждает, что ее боты «избегают обнаружения и могут параллельно обрабатывать до 100 000 запросов за несколько минут». Так, клиенты компании платят деньги, указывают местоположение браузеров, через которые они хотят получить доступ к определенным веб-страницам, а Olostep использует свою базу установленных расширений для выполнения запроса.

Создатель MellowTel, в свою очередь, утверждает, что его библиотека предназначена для «совместного использования интернет-соединений [пользователей] (без вставки партнерских ссылок, несвязанной рекламы или необходимости сбора персональных данных)». Также он заявляет, что «основная причина, по которой компании платят за трафик, — это надежный и экономически эффективный доступ к общедоступным данным с сайтов». По словам разработчика, авторы расширений получают 55% дохода, а MellowTel — все остальное.

Однако в SecurityAnnex предупреждают, что расширения, в которых используется MellowTel, представляют опасность для пользователей. Одна из причин этого заключается в том, что MellowTel заставляет расширения активировать веб-сокет, который подключается к серверу AWS, собирающему информацию о местоположении, доступной пропускной способности, активности и состоянии пользователей расширений.

Помимо нарушения конфиденциальности, веб-сокет также внедряет в просматриваемые страницы скрытый iframe, который подключается к сайтам из списка, полученного с сервера AWS. И пользователи никак не могут «увидеть», какие сайты открываются в скрытом iframe.

Также специалисты отмечают, что проблема MellowTel заключается еще и в том, что сайты, которые открывает библиотека, скрыты от конечных пользователей. Фактически людям приходится доверять MellowTel в вопросах проверки безопасности и надежности каждого открываемого ресурса.

Кроме того, MellowTel представляет опасность для корпоративных сетей, где типы кода, разрешенного пользователям, строго ограничены, равно как и сайты, которые они посещают.

В настоящее время статус расширений, использующих MellowTel, таков:

• 12 из 45 обнаруженных расширений для Chrome уже неактивны. Некоторые из них были удалены по причине обнаружения вредоносного ПО, а в других случаях разработчики сами отказались от использования библиотеки;


• только 8 из 129 расширений Edge были отключены;


• из 71 опасного расширения для Firefox деактивированы всего 2.

Полный список расширений можно найти здесь.

После обвинений со стороны исследователей и многочисленных сообщений в СМИ, создатель MellowTel Арсиан Али опубликовал развернутый ответ, в котором утверждает, что лишь пытается «создать опенсорсную альтернативу рекламным механизмам, а также движок для монетизации в мире ИИ».

Фото: SecurityAnnex