Hàng triệu người dùng bị âm thầm theo dõi suốt 7 năm trên Chrome và Edge: Tiện ích mở rộng "biến hình" thành mã độc đánh cắp dữ liệu

Theo báo cáo từ TheRegister, một tài khoản hoạt động dưới tên ShadyPanda đã bắt đầu tải lên các tiện ích mở rộng hoàn toàn vô hại từ năm 2018. Những phiên bản đầu tiên hoạt động như các công cụ tiêu chuẩn, giúp xây dựng lòng tin trong suốt 7 năm. Khi lượng người dùng phát triển lên con số hàng triệu, các tiện ích này bắt đầu nhận được những bản cập nhật độc hại, biến chúng thành công cụ giám sát. Koi Security đã phát hiện ra hoạt động này trong quá trình phân tích hành vi tiện ích và sau đó xác nhận quy mô của sự việc trong báo cáo của mình.

Các tiện ích này được giới thiệu là công cụ hỗ trợ năng suất, thậm chí một số còn đạt được trạng thái "nổi bật" (featured) và "đã xác minh" (verified) trên cả cửa hàng của Chrome và Edge. Hơn 4,3 triệu người dùng trên hai trình duyệt này đã bị ảnh hưởng. Một trong những ví dụ điển hình là Clean Master, riêng tiện ích này đã có hơn 200.000 lượt cài đặt. Một tiện ích khác là WeTab, cùng với một số tiện ích khác từ cùng nhà phát hành, đã đạt hơn 3 triệu lượt cài đặt trên Edge và Chrome.

Mối đe dọa đã bị gỡ bỏ khỏi cửa hàng, nhưng người dùng vẫn cần tự kiểm tra

Bản cập nhật độc hại cho phép các tiện ích này thu thập một lượng lớn dữ liệu duyệt web. Điều này bao gồm mọi URL người dùng truy cập, toàn bộ lịch sử duyệt web và bất kỳ truy vấn tìm kiếm nào được gõ vào trình duyệt. Nó cũng ghi lại các cú nhấp chuột, thu thập dữ liệu nhận dạng trình duyệt (browser fingerprints) chi tiết và theo dõi cách người dùng di chuyển giữa các trang web thông qua dữ liệu HTTP referrer.

Google xác nhận rằng không còn tiện ích độc hại nào tồn tại trên Chrome Web Store, và Microsoft cũng xác nhận việc gỡ bỏ chúng khỏi kho tiện ích Edge. Tuy nhiên, việc gỡ bỏ khỏi cửa hàng ứng dụng không đồng nghĩa với việc chúng tự động biến mất khỏi trình duyệt của người dùng, do đó người dùng vẫn nên kiểm tra lại danh sách tiện ích đã cài đặt.

Trên Chrome và Edge, hãy tìm kiếm bất kỳ tiện ích nào được phát hành bởi Starlab Technology hoặc liên quan đến WeTab. Ngoài ra, việc xóa bất kỳ tiện ích nào lạ hoặc không còn sử dụng cũng là điều nên làm để đảm bảo an toàn.

Cập nhật Chrome hoặc Edge là một bước quan trọng khác. Việc cài đặt phiên bản mới nhất giúp trình duyệt áp dụng các kiểm tra bảo mật mới đối với hành vi của tiện ích mở rộng và có thể kích hoạt danh sách chặn tích hợp sẵn để vô hiệu hóa những tiện ích đã bị gỡ bỏ hoặc bị gắn cờ. Một bản cập nhật mới cũng đảm bảo không còn phiên bản cũ nào của tiện ích mở rộng còn lưu trong bộ nhớ đệm đang hoạt động.

Đáng lưu ý, phần mềm độc hại này còn lưu trữ các mã định danh (persistent identifiers) trong chrome.storage.sync. Các mã UUID này có thể theo người dùng qua các thiết bị khác nhau, nghĩa là hồ sơ người dùng vẫn có thể bị theo dõi ngay cả khi cài đặt lại trình duyệt. Để loại bỏ hoàn toàn, người dùng nên xóa dữ liệu đồng bộ sau khi gỡ cài đặt các tiện ích bị ảnh hưởng.