Danskere har downloadet snedig spyware-plugin 39.289 gange

Adskilligere danskere har hentet Webpage-screenshot-udvidelsen til Chrome, der ud over at tage skærmdumps indeholder en spyware-lignende funktionalitet, der ifølge en ekspert på snedig vis er skjult for Googles detekterings-mekanismer.

Udvidelsen til Chrome, Webpage-screenshot, gør andet end blot at tage screenshots. Den indeholder også funktionalitet, der sender brugerens gøren og laden på nettet til en server i USA.

It-sikkerhedsfirmaet CSIS har set nærmere på sagen og oplyser i den forbindelse, at der ifølge Googles Webshop har været 39.289 danske downloads af udvidelsen, der dog nu er fjernet fra Googles Webshop.

Og på globalt plan er den hentet af flere end 1,2 millioner brugere, fremgår det af en meddelelse fra it-sikkerhedsvirksomheden.

Men trods sin udbredelse har udvidelsen, der blandt andet kan tage screenshots af hele hjemmesider, altså ikke vakt synderlig mistanke, før svenske Dagens Nyheter sammen med en it-sikkerhedsekspert så nærmere på softwaren.

Personen bag Webpage-screenshot har da også gjort sit for at undgå, at udvidelsen skulle vække mistanke.

Peter Kruse fra CSIS fortæller, at Webpage-screenshot indeholder en dvalefunktion, så den spyware-lignende opførsel ikke bliver aktiveret lige med det samme.

Læs også: Avis: Chrome-udvidelse sender dine data til server i USA

Og det bevirker, at selvom Google kører automatiserede test af den slags udvidelser i et lukket miljø, så har den privacy-krænkende opførsel ikke fået alarmklokkerne til at ringe. Funktionen har nemlig ikke har været aktiveret fra starten.

»Den lægger sig ned og slapper af i en uge. Når den har ligget der i en uge, så aktiverer den, på baggrund af installationsdatoen, den omtalte lyttefunktion,« siger Peter Kruse.

Ifølge it-sikkerhedsmanden så kan den form for dvalefunktion bruges som en generel teknik til at narre detektions-mekanismer i moderne antivirus-programmer, der på samme måde som Google forsøger at identificere skadelig kode ud fra, hvordan et program opfører sig, når det bliver aktiveret. Altså en adfærds- eller på engelsk behavior-analyse.

»Det er i virkeligheden en snedig omgåelse af behavior og sandbox-teknologier, som ellers bliver brugt til at teste tusindvis af programmer, uden at man er nødt til at gennemgå kildekoden styk for styk. Det ville tage al for lang tid,« siger Peter Kruse og tilføjer:

»Og det er jo akilleshælen, kan man sige, ved blandt andet Google. Når man ved, hvordan valideringen af koden foregår, så kan man relativt nemt omgå den. Og det er blandt andet det, vi har set her.«

Derfor er det generelt set også en god idé at være påpasselig, inden der installeres udvidelser i browseren, påpeger Peter Kruse.

»Man skal som udgangspunkt ikke stole på browserudvidelser mere, end man stoler på anden programkode,« siger han.

Platformsuafhængig

Og i modsætning til gængs programkode, der potentielt kan være skadeligt, så udmærker skadelige browser-plugins sig på en lidet ønskværdig måde i denne sammenhæng. De kan nemlig køre på forskellige styresystemer, så længe systemet kører eksempelvis Chrome.

Peter Kruse fortæller i den forbindelse, at CSIS har observeret en skadelig plugin, der også kørte på en Mac-computer og kunne sprede sig via en orme-lignende funktionalitet på Facebook.

»Der er en grad af platformsuafhængighed her,« siger Peter Kruse.

I det konkrete tilfælde med Webpage-screenshot, så mener Peter Kruse godt, Google kunne stramme lidt op på scannings-processen i forhold til skadeligt indhold.

»Maskerne i nettet er åbenbart store nok til, at sådan nogle ting kan slippe igennem. Det skal de måske have kigget på. Jeg ved ikke præcist, hvordan du kan ikke lave kodereview manuelt med alle de udvidelser, der findes i sådan en browser. Det er en udfordring,« siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jørgen L. Sørensen

Det burde jo så også være let at emulere, at der hurtigt er gået en dag, uge, måned osv..

Det hjælper vel ikke hvis tilføjelsen bruger en time-server på nettet, men det kan vel fanges --- og det er vel også så usædvanligt at det får nogle bjælder til at ringe hos dem der tjekker programmet/tilføjelsen. Indrømmet - jeg har ikke ret meget forstand på det :-?

Log ind eller Opret konto for at kommentere