Hàng triệu người dùng bị theo dõi âm thầm suốt 7 năm trên Chrome và Edge: Tiện ích mở rộng "biến hình" thành mã độc lấy cắp thông tin cá nhân

Koi Security vừa phát hiện các bản cập nhật độc hại được ẩn giấu trong những tiện ích mở rộng quen thuộc trên trình duyệt, phơi bày chiêu trò biến những công cụ tin cậy, đã được phát triển trong nhiều năm, thành vũ khí theo dõi người dùng trên Chrome và Edge.

Theo báo cáo từ TheRegister, một tài khoản hoạt động dưới tên ShadyPanda đã bắt đầu tải lên các tiện ích mở rộng hoàn toàn vô hại từ năm 2018. Những phiên bản đầu tiên này hoạt động như những công cụ tiêu chuẩn, giúp xây dựng lòng tin suốt 7 năm qua.

Khi số lượng người dùng tăng lên đến hàng triệu, các tiện ích này dần nhận các bản cập nhật độc hại, biến chúng thành công cụ giám sát. Koi Security đã phát hiện hành vi này trong quá trình phân tích và xác nhận quy mô sự việc trong báo cáo của mình.

Những tiện ích này được giới thiệu là các công cụ hỗ trợ năng suất, thậm chí có một số đã đạt được trạng thái "nổi bật" và "đã xác minh" trên cả cửa hàng Chrome và Edge. Hơn 4,3 triệu người dùng trên hai trình duyệt này đã bị ảnh hưởng. Một trong những ví dụ nổi bật là Clean Master, với hơn 200.000 lượt cài đặt. Một tiện ích khác, WeTab, cùng với một số tiện ích khác từ cùng nhà phát hành, đã thu hút hơn 3 triệu lượt cài đặt trên Chrome và Edge.

Mối đe dọa đã bị gỡ bỏ khỏi cửa hàng, nhưng người dùng vẫn cần tự kiểm tra

Bản cập nhật độc hại cho phép các tiện ích này thu thập một lượng lớn dữ liệu duyệt web, bao gồm mọi URL người dùng truy cập, toàn bộ lịch sử duyệt web và các truy vấn tìm kiếm. Nó cũng ghi lại các cú nhấp chuột, thu thập dữ liệu nhận dạng trình duyệt (browser fingerprints) chi tiết và theo dõi cách người dùng di chuyển giữa các trang web qua dữ liệu HTTP referrer.

Google đã xác nhận không còn tiện ích độc hại nào tồn tại trên Chrome Web Store, và Microsoft cũng đã gỡ bỏ chúng khỏi kho tiện ích Edge. Tuy nhiên, việc gỡ bỏ khỏi cửa hàng ứng dụng không có nghĩa là chúng sẽ tự động biến mất khỏi trình duyệt của người dùng, vì vậy người dùng cần tự kiểm tra lại danh sách tiện ích đã cài đặt.

Trên Chrome và Edge, người dùng nên tìm kiếm các tiện ích do Starlab Technology phát hành hoặc liên quan đến WeTab. Ngoài ra, việc xóa bất kỳ tiện ích nào lạ hoặc không còn sử dụng cũng rất quan trọng để đảm bảo an toàn.

Cập nhật phiên bản mới cho Chrome hoặc Edge là một bước quan trọng để bảo mật. Việc này giúp trình duyệt áp dụng các kiểm tra bảo mật mới đối với các tiện ích mở rộng và kích hoạt danh sách chặn tích hợp để vô hiệu hóa những tiện ích đã bị gỡ bỏ hoặc bị gắn cờ. Cập nhật mới cũng đảm bảo không còn phiên bản cũ của tiện ích mở rộng nào đang hoạt động trong bộ nhớ đệm.

Điều đáng chú ý là phần mềm độc hại này còn lưu trữ mã định danh (persistent identifiers) trong chrome.storage.sync. Các mã UUID này có thể theo dõi người dùng qua các thiết bị khác nhau, có nghĩa là hồ sơ người dùng vẫn có thể bị giám sát ngay cả khi cài đặt lại trình duyệt. Để xóa bỏ hoàn toàn, người dùng nên xóa dữ liệu đồng bộ sau khi gỡ bỏ các tiện ích bị ảnh hưởng.