MinhSec
Writer
Một nghiên cứu mới từ công ty an ninh mạng Socket vừa phát hiện một mạng lưới lớn gồm hơn 140 tiện ích mở rộng trên trình duyệt Google Chrome hoạt động dưới vỏ bọc là các công cụ hình nền động, nhưng thực chất lại âm thầm theo dõi người dùng và tạo lưu lượng truy cập quảng cáo giả mạo.
Theo nhóm nghiên cứu của Socket, các tiện ích này được quảng bá như công cụ cá nhân hóa tab mới với những chủ đề quen thuộc như anime, bóng đá, xe hơi, game hay các nhân vật nổi tiếng. Tuy nhiên, đằng sau vẻ ngoài vô hại đó là một hệ thống kiếm tiền từ quảng cáo được tổ chức bài bản.
Các chuyên gia phát hiện 152 tiện ích mở rộng có chung mã nguồn, liên kết với 38 tài khoản phát hành khác nhau và ba tên miền chính. Trong số này, 141 tiện ích vẫn đang hoạt động trên cửa hàng Chrome Web Store với tổng cộng khoảng 105.000 lượt cài đặt.
Socket cho biết một nhóm 54 tiện ích mở rộng sử dụng hệ thống mới của tabplugins.com đã tự động tạo các lượt truy cập giả như thể người dùng nhấp vào kết quả tìm kiếm tự nhiên trên Google. Điều này giúp các trang web của nhà điều hành trông có vẻ nhận được lượng truy cập thật, từ đó nâng cao giá trị quảng cáo.
Đáng chú ý, ngay cả khi người dùng gỡ cài đặt tiện ích, hệ thống vẫn tạo ra các lượt chuyển hướng đặc biệt thông qua định dạng google.com/url để làm giả nguồn truy cập giống như đến từ công cụ tìm kiếm.
Ngoài việc tạo lưu lượng truy cập giả, các tiện ích này còn thu thập dữ liệu như địa chỉ IP, loại trình duyệt, nhà cung cấp mạng, thời gian truy cập, nguồn giới thiệu và số lần nhấp chuột. Điều này trái ngược hoàn toàn với cam kết “không thu thập dữ liệu” trên trang thông tin của chúng.
Socket đánh giá đây là hành vi gần giống phần mềm quảng cáo hơn là phần mềm độc hại truyền thống, nhưng vẫn tiềm ẩn nguy cơ về quyền riêng tư và tính minh bạch.
Ngoài ra, sau khi gỡ cài đặt, người dùng nên kiểm tra lại cài đặt tab mới và công cụ tìm kiếm mặc định trên Chrome để đảm bảo không bị thay đổi trái phép.
Giới chuyên gia cũng nhấn mạnh rằng người dùng cần thận trọng với các tiện ích mở rộng tab mới hoặc hình nền động, đặc biệt nếu chúng yêu cầu quyền truy cập liên quan đến tìm kiếm, chuyển hướng hoặc truy cập các trang web bên ngoài.
Vụ việc một lần nữa cho thấy ngay cả những tiện ích tưởng chừng vô hại cũng có thể trở thành công cụ theo dõi và kiếm tiền ngầm, đặt ra thêm câu hỏi về mức độ kiểm soát và giám sát của các kho tiện ích trình duyệt hiện nay.
Theo nhóm nghiên cứu của Socket, các tiện ích này được quảng bá như công cụ cá nhân hóa tab mới với những chủ đề quen thuộc như anime, bóng đá, xe hơi, game hay các nhân vật nổi tiếng. Tuy nhiên, đằng sau vẻ ngoài vô hại đó là một hệ thống kiếm tiền từ quảng cáo được tổ chức bài bản.
Các chuyên gia phát hiện 152 tiện ích mở rộng có chung mã nguồn, liên kết với 38 tài khoản phát hành khác nhau và ba tên miền chính. Trong số này, 141 tiện ích vẫn đang hoạt động trên cửa hàng Chrome Web Store với tổng cộng khoảng 105.000 lượt cài đặt.
Cách mạng lưới tiện ích này hoạt động
Khác với các phần mềm độc hại truyền thống chuyên đánh cắp mật khẩu hoặc dữ liệu ngân hàng, mục tiêu chính của nhóm tiện ích này là điều hướng người dùng đến các trang web kiếm tiền quảng cáo và tạo ra lưu lượng truy cập giả mạo.Socket cho biết một nhóm 54 tiện ích mở rộng sử dụng hệ thống mới của tabplugins.com đã tự động tạo các lượt truy cập giả như thể người dùng nhấp vào kết quả tìm kiếm tự nhiên trên Google. Điều này giúp các trang web của nhà điều hành trông có vẻ nhận được lượng truy cập thật, từ đó nâng cao giá trị quảng cáo.
Đáng chú ý, ngay cả khi người dùng gỡ cài đặt tiện ích, hệ thống vẫn tạo ra các lượt chuyển hướng đặc biệt thông qua định dạng google.com/url để làm giả nguồn truy cập giống như đến từ công cụ tìm kiếm.
Ngoài việc tạo lưu lượng truy cập giả, các tiện ích này còn thu thập dữ liệu như địa chỉ IP, loại trình duyệt, nhà cung cấp mạng, thời gian truy cập, nguồn giới thiệu và số lần nhấp chuột. Điều này trái ngược hoàn toàn với cam kết “không thu thập dữ liệu” trên trang thông tin của chúng.
Socket đánh giá đây là hành vi gần giống phần mềm quảng cáo hơn là phần mềm độc hại truyền thống, nhưng vẫn tiềm ẩn nguy cơ về quyền riêng tư và tính minh bạch.
Người dùng Chrome nên làm gì?
Các chuyên gia khuyến cáo người dùng nên kiểm tra và gỡ bỏ ngay các tiện ích mở rộng liên quan đến các tên miền như tabplugins.com, yowgames.com, chromewallpaper.com hoặc owhit.com.
Ngoài ra, sau khi gỡ cài đặt, người dùng nên kiểm tra lại cài đặt tab mới và công cụ tìm kiếm mặc định trên Chrome để đảm bảo không bị thay đổi trái phép.
Giới chuyên gia cũng nhấn mạnh rằng người dùng cần thận trọng với các tiện ích mở rộng tab mới hoặc hình nền động, đặc biệt nếu chúng yêu cầu quyền truy cập liên quan đến tìm kiếm, chuyển hướng hoặc truy cập các trang web bên ngoài.
Vụ việc một lần nữa cho thấy ngay cả những tiện ích tưởng chừng vô hại cũng có thể trở thành công cụ theo dõi và kiếm tiền ngầm, đặt ra thêm câu hỏi về mức độ kiểm soát và giám sát của các kho tiện ích trình duyệt hiện nay.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
