Сегодня 09 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Браузеры почти 1 млн пользователей превратились в скрытых ботов для скрапинга

Браузерные расширения, казалось бы, полезные и безобидные, оказались замешаны в масштабном проекте по превращению пользовательских устройств в ботов. 909 000 браузеров по всему миру стали невольными участниками нелегальной сети по сбору данных. Исследователь Джон Такнер (John Tuckner) из SecurityAnnex, обнаружил, что 245 популярных расширений для Chrome, Firefox и Edge отключали защиту, чтобы тайно скрапить сайты по заказу сервиса Olostep.

 Источник изображения: Philipp Katzenberger/Unsplash

Источник изображения: Philipp Katzenberger/Unsplash

Эти расширения выполняли функцию управления закладками, увеличением громкости звука, генерации случайных чисел и другими полезными задачами, но при этом использовали скрипт MellowTel-js, представляющий из себя JavaScript-библиотеку с открытым исходным кодом, которая позволяет разработчикам тайно монетизировать свои расширения. Как пишет издание Ars Technica, заработок был возможен за счёт скрапинга — автоматического сбора информации с веб-страниц (по заказу клиентов Olostep).

По данным Такнера, библиотека MellowTel тесно связана с Olostep, позволяя обходить системы обнаружения ботов и параллельно обрабатывать до 100 000 запросов за считанные минуты. Клиенты указывают, какие страницы нужно открывать, и далее система использует устройства пользователей, установивших подходящие расширения, для выполнения задачи.

Основатель MellowTel пояснил, что библиотека предназначена для распределённого использования интернет-канала пользователей без сбора их личных данных. По его словам, компании платят за доступ к публичной информации на сайтах, а разработчики расширений получают 55 % дохода. Однако Такнер считает, что MellowTel создаёт риски для пользователей, так как библиотека активирует скрытое соединение с сервером Amazon Web Services, передавая ему данные о местоположении, скорости интернета и активности пользователя. Кроме того, она внедряет невидимый iframe, который загружает сторонние сайты без ведома владельцев устройств.

Обычно браузеры блокируют такие действия с помощью встроенных механизмов безопасности типа Content-Security-Policy и X-Frame-Options. Но MellowTel использует разрешение под названием declarativeNetRequest, чтобы временно отключать эти ограничения, одновременно делая устройства уязвимыми к межсайтовым атакам. Проблема усугубляется ещё и тем, что пользователи не знают, какие именно сайты открываются в фоновом режиме, и вынуждены полагаться на добросовестность MellowTel. Отмечается, что ситуация особенно опасна для корпоративных сетей с жёсткими политиками безопасности.

Как сообщает Ars Technica, ссылаясь на слова Такнера, часть опасных расширений уже удалена. Из 45 выявленных дополнений для Chrome 12 уже перестали работать. Среди 129 расширений для Edge неактивны восемь, а в Firefox неактивны два из 71. При этом некоторые разработчики добровольно убрали библиотеку MellowTel из обновлённых версий своих расширений. Полный список расширений опубликован в отчёте исследователя в «Google Документах».

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
«До сих пор отходим от похмелья»: разработчики Ghost of Yotei с размахом отпраздновали перенос GTA VI 2 ч.
Нейросеть Google Veo 3 научилась создавать вертикальные видео для соцсетей 3 ч.
Разработчики Hollow Knight: Silksong сжалились над игроками — первый патч сделает метроидванию чуть проще 3 ч.
По мотивам «Повести временных лет» выпустят MMORPG на стыке научной фантастики и фэнтези с «эпической историей» и геймплеем «нового уровня» 5 ч.
Антиспам-сервис Microsoft начал блокировать безопасные ссылки в Teams и Exchange Online, и отправлять письма в карантин 5 ч.
Пароли «admin» и другие дыры в кибербезопасности сети ресторанов Burger King выявили белые хакеры 6 ч.
Из Meta продолжается массовый исход специалистов в сфере ИИ — Цукерберг пытается его остановить, но безуспешно 6 ч.
Microsoft тестирует новые ИИ-функции в «Проводнике» Windows 11 6 ч.
Бывший сотрудник подал на WhatsApp в суд из-за игнорирования проблем с кибербезопасностью 8 ч.
Соцсети заполонили боты: Сэм Альтман пожаловался, что интернет стал искусственным из-за ИИ 9 ч.
Дебютировали Apple Watch SE 3 с усиленным стеклом, AoD, повышенной автономностью и 5G — от $249 44 мин.
Nvidia внезапно представила ИИ-чип Rubin CPX со 128 Гбайт GDDR7 для обработки длинных контекстов 46 мин.
Стартап Modos разработал первый в мире дисплей на электронной бумаге с частотой обновления 75 Гц 2 ч.
Глава AMD Лиза Су выступит с докладом на CES 2026 — ожидаются анонсы о новых Ryzen, Radeon и Instinct 3 ч.
«Она для энтузиастов, готовых потратиться»: Lenovo попыталась оправдать высокую цену Legion Go 2 3 ч.
Геотермальная энергия стоит очень дорого, но стартап Dig Energy обещает снизить затраты на 80 % 4 ч.
Alterego представила носимое устройство с «почти телепатическими способностями» для общения со скоростью мысли 5 ч.
Бескабельные серверы и стойки Softbank помогут роботам вытеснить людей из ЦОД 5 ч.
Asus запустила продажи видеокарты ProArt GeForce RTX 5080 OC с отделкой под дерево и USB-C 5 ч.
QuantumScape показала первый в мире транспорт на твердотельных аккумуляторах — модифицированный мотоцикл Ducati V21L 5 ч.