Andrey Meshkov - đồng sáng lập trình chặn quảng cáo AdGuard - đã nghiên cứu đoạn mã trong một số trình chặn quảng cáo phổ biến và phát hiện ra những hành vi mờ ám mà người dùng không thể thấy được!
Hóa ra, trình chặn quảng cáo mà bạn đang cài đặt trên trình duyệt của mình có khả năng lại là một malware. Theo trang tin Motherboard, trước việc một lượng lớn các trình chặn quảng cáo dành cho trình duyệt Chrome mọc như "nấm sau mưa", với vẻ ngoài trông không khác gì các trình chặn quảng cáo "chính chủ" và phổ biến, Meshkov đã tự hỏi tại sao chúng lại tồn tại và thử tải về một trình chặn quảng cáo ngẫu nhiên để "mày mò" mã nguồn.
"Tôi tải nó về và kiểm tra xem trình chặn quảng cáo này yêu cầu những gì. Và tôi phát hiện một vài yêu cầu khá kỳ lạ" - Meshkov nói.
Trình chặn quảng cáo bị Meshkov "mổ xẻ" mang tên "AdRemover for Google Chrome", với hơn 10 triệu người dùng, và có chứa một đoạn mã ẩn bên trong một hình ảnh, có khả năng được kích hoạt từ một máy chủ ra lệnh từ xa, cho phép tác giả trình chặn quảng cáo có thể thay đổi chức năng của nó mà không cần phải cập nhật. Đây là hành vi trái với chính sách của Google, và sau khi Meshkov đăng tải một vài ví dụ về các trình này lên blog của AdGuard (nhiều trong số này có hàng triệu lượt tải về), Chrome đã ngay lập tức xóa bỏ chúng khỏi cửa hàng phần mở rộng. Người phát ngôn của Google cũng đã xác nhận điều này.
Đây là hình ảnh chứa mã độc trong AdRemover
Dù Meshkov không thể ngay lập tức phát hiện ra mục đích của việc phần mở rộng này thu thập dữ liệu, anh cho biết việc có một đường dẫn đến máy chủ từ xa trong phần mở rộng là cực kỳ nguy hiểm, bởi nó có thể thay đổi hành vi của trình duyệt theo nhiều cách khác nhau. Meshkov nói nó có thể thay đổi giao diện của các trang web, "vơ vét" thông tin từ người dùng, hay cài các phần mở rộng khác mà người dùng không hề hay biết.
"Ví dụ, phần mở rộng có thể đóng vai trò là kẻ trung gian xử lý mọi yêu cầu xuất phát từ trình duyệt, nhưng nó lại không thể đọc được cơ sở dữ liệu mật mã đã mã hóa của trình duyệt vì việc này đòi hỏi một quyền truy cập mà các phần mở rộng không thể có được" - Zhu giải thích.
Meshkov cho biết dù Google đã xóa bỏ các phần mở rộng mà anh trình báo, nhưng cửa hàng phần mở rộng của Chrome đang "dung túng" cho nhiều phần mở rộng "nhái", "rác" tương tự như vậy. Trước đây, các phần mở rộng này từng "đổi chủ" và phát tán malware vào máy tính người dùng.
Vậy chúng ta nên làm gì khi mà các phần mở rộng nguy hiểm kia trông chẳng khác gì hàng chính chủ? Meshkov khuyên hãy tìm kiếm trên trang web của nhà phát triển để cài phần mở rộng mà bạn muốn, bởi chắc chắn họ sẽ đăng tải một đường dẫn đến cửa hàng của Chrome. Và hãy cẩn thận với bất kỳ thứ gì mà bạn đã, đang và sẽ cài vào trình duyệt web của mình.
Thêm bình luận