Сегодня 10 июля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Браузеры почти 1 млн пользователей превратились в скрытых ботов для скрапинга

Браузерные расширения, казалось бы, полезные и безобидные, оказались замешаны в масштабном проекте по превращению пользовательских устройств в ботов. 909 000 браузеров по всему миру стали невольными участниками нелегальной сети по сбору данных. Исследователь Джон Такнер (John Tuckner) из SecurityAnnex, обнаружил, что 245 популярных расширений для Chrome, Firefox и Edge отключали защиту, чтобы тайно скрапить сайты по заказу сервиса Olostep.

 Источник изображения: Philipp Katzenberger/Unsplash

Источник изображения: Philipp Katzenberger/Unsplash

Эти расширения выполняли функцию управления закладками, увеличением громкости звука, генерации случайных чисел и другими полезными задачами, но при этом использовали скрипт MellowTel-js, представляющий из себя JavaScript-библиотеку с открытым исходным кодом, которая позволяет разработчикам тайно монетизировать свои расширения. Как пишет издание Ars Technica, заработок был возможен за счёт скрапинга — автоматического сбора информации с веб-страниц (по заказу клиентов Olostep).

По данным Такнера, библиотека MellowTel тесно связана с Olostep, позволяя обходить системы обнаружения ботов и параллельно обрабатывать до 100 000 запросов за считанные минуты. Клиенты указывают, какие страницы нужно открывать, и далее система использует устройства пользователей, установивших подходящие расширения, для выполнения задачи.

Основатель MellowTel пояснил, что библиотека предназначена для распределённого использования интернет-канала пользователей без сбора их личных данных. По его словам, компании платят за доступ к публичной информации на сайтах, а разработчики расширений получают 55 % дохода. Однако Такнер считает, что MellowTel создаёт риски для пользователей, так как библиотека активирует скрытое соединение с сервером Amazon Web Services, передавая ему данные о местоположении, скорости интернета и активности пользователя. Кроме того, она внедряет невидимый iframe, который загружает сторонние сайты без ведома владельцев устройств.

Обычно браузеры блокируют такие действия с помощью встроенных механизмов безопасности типа Content-Security-Policy и X-Frame-Options. Но MellowTel использует разрешение под названием declarativeNetRequest, чтобы временно отключать эти ограничения, одновременно делая устройства уязвимыми к межсайтовым атакам. Проблема усугубляется ещё и тем, что пользователи не знают, какие именно сайты открываются в фоновом режиме, и вынуждены полагаться на добросовестность MellowTel. Отмечается, что ситуация особенно опасна для корпоративных сетей с жёсткими политиками безопасности.

Как сообщает Ars Technica, ссылаясь на слова Такнера, часть опасных расширений уже удалена. Из 45 выявленных дополнений для Chrome 12 уже перестали работать. Среди 129 расширений для Edge неактивны восемь, а в Firefox неактивны два из 71. При этом некоторые разработчики добровольно убрали библиотеку MellowTel из обновлённых версий своих расширений. Полный список расширений опубликован в отчёте исследователя в «Google Документах».

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Еврокомиссия представила инструкцию по соблюдению «Закона об ИИ» 11 мин.
«Перестроили многое с нуля»: новые подробности ролевой игры Warhammer 40,000: Dark Heresy от авторов Rogue Trader 2 ч.
Amazon планирует инвестировать миллиарды долларов в ИИ-стартап Anthropic 2 ч.
Финансовый отчёт Arkane Studios раскрыл, когда выйдет боевик Marvel’s Blade от создателей Deathloop и Dishonored 3 ч.
Snoop Dogg выпустил трек про Telegram — миллион его NFT-подарков разлетелся за считанные минуты 4 ч.
Microsoft похвасталась, что сэкономила $500 млн с помощью ИИ в прошлом году, — а в этом уволила 15 000 сотрудников 4 ч.
Дополнение к «Смуте» превратилось в отдельную игру — дата выхода и скриншоты приключенческого боевика «Земский собор» 4 ч.
Безинтернетный мессенджер Bitchat от основателя Twitter провалил первую проверку безопасности 5 ч.
Биткоин рекордно подорожал до $112 000 — в том числе благодаря Nvidia 5 ч.
Bethesda приступила к улучшению производительности The Elder Scrolls IV: Oblivion Remastered — в Steam вышла бета-версия патча 1.2 5 ч.