Gli sfondi animati per il browser possono sembrare innocui, ma sono state scoperte 152 estensioni potenzialmente pericolose nel Chrome Web Store che si mascherano da App per gli sfondi animati, nascondendo il tracciamento pubblicitario e spacciando il proprio traffico per clic provenienti dalla ricerca di Google.
La famiglia di estensioni è stata identificata dagli specialisti di Socket. Secondo i loro dati, i progetti sono stati rilasciati da un’unica codebase, ma distribuiti attraverso 38 diversi account di editori e tre marchi associati. Complessivamente, le estensioni identificate hanno registrato circa 105.000 installazioni.
Nelle schede del Chrome Web Store, gli sviluppatori affermavano di non raccogliere dati degli utenti, sebbene la relativa informativa sulla privacy descrivesse la raccolta di indirizzi IP, informazioni sul provider di servizi Internet (ISP), fonti di provenienza e di clic, nonché la condivisione dei dati con i partner pubblicitari.
Il meccanismo principale agiva tramite la pagina di installazione e rimozione. In 54 estensioni che utilizzavano il nuovo template tabplugins, l’installazione apriva una pagina sul sito web dell’operatore con i tag utm_source=google e utm_medium=organic. Analytics poteva interpretare questa visita come un normale clic da una ricerca Google, anche se era l’estensione stessa ad aprire la scheda.
Durante la disinstallazione, l’estensione utilizzava un link nel formato google.com/url con parametri tipici di un reindirizzamento dai risultati di ricerca, in modo che anche il segnale di rimozione apparisse come un clic da un risultato di ricerca.
Questo stratagemma non sostituiva il motore di ricerca dell’utente né inseriva annunci pubblicitari nei siti visitati. Il profitto degli hacker derivava da qualcos’altro: le estensioni indirizzavano gli utenti verso pagine di brand con annunci pubblicitari, e la falsa attribuzione migliorava la visibilità del traffico per i sistemi pubblicitari e i programmi di affiliazione.
In sostanza, l’installazione dell’estensione trasformava il sito in una fonte di visite artificialmente “organiche”.
Tutte le build testate contenevano lo stesso frammento di codice che, all’avvio del processo del servizio, scorreva i database di IndexedDB e tentava di eliminarli. Nella versione attuale, il codice non influiva su siti web, cookie, localStorage o sessioni utente, poiché veniva eseguito solo all’interno dell’estensione stessa e non eliminava effettivamente nulla.
Tuttavia, gli esperti hanno definito questo comportamento sospetto, poiché non esiste una ragione valida per cui l’estensione per gli sfondi debba avviare una pulizia nascosta della memoria.
Alcune estensioni funzionavano tramite tabplugins, yowgames e chromewallpaper, e un dominio indirizzava a owhit.com. Undici estensioni erano già state rimosse dal Chrome Web Store al momento della pubblicazione del rapporto di Socket. Altre tre estensioni contenevano un errore di script in background che impediva l’esecuzione della logica di installazione, disinstallazione e cancellazione di IndexedDB, sebbene le estensioni stesse continuassero a installarsi e a modificare la pagina in una nuova scheda.
Si consiglia agli utenti di rimuovere le estensioni per sfondi animati associate a tabplugins, yowgames e chromewallpaper, di controllare la pagina Nuova scheda e il motore di ricerca predefinito in Chrome e di confrontare la politica di elaborazione dei dati dichiarata con l’informativa sulla privacy completa prima di installare estensioni simili.
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su
bug,
data breach e
minacce globali. Ogni contenuto è validato dalla nostra community di esperti come
Pietro Melillo,
Massimiliano Brolli,
Sandro Sana,
Olivia Terragni e
Stefano Gazzella.
Grazie alla sinergia con i nostri
Partner leader nel settore (tra cui
Accenture,
CrowdStrike,
Trend Micro e
Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa
peer-review tecnica.