Loạt tool chặn quảng cáo rởm khiến hàng triệu người dùng Chrome sập bẫy

Hóa ra, trình chặn quảng cáo mà nhiều người dùng Chrome đã tải về và cài đặt trên trình duyệt của mình lại là một malware... Điều này quá nguy hiểm.

Andrey Meshkov - Người đồng sáng lập trình chặn quảng cáo AdGuard, đã nghiên cứu các đoạn mã trong một số trình chặn quảng cáo đang phổ biến trên Chrome và phát hiện ra "những hành vi mờ ám" mà người dùng không thể thấy được. Đó là những malwave "ẩn mình" trong các trình chặn quảng cáo giả nhằm đánh lừa người dùng.
 
Theo trang tin Motherboard, trước việc một lượng lớn các trình chặn quảng cáo dành cho trình duyệt Chrome đang mọc lên "như nấm sau mưa", với vẻ ngoài trông không khác gì các trình chặn quảng cáo thật và chính chủ, hiện rất phổ biến đã khiến cho Meshkov tò mò tự hỏi, tại sao chúng lại tồn tại và thử tải  ngẫu nhiên một trình chặn quảng cáo về để tìm hiểu sâu hơn mã nguồn của nó.
Đây là hình ảnh chứa mã độc trong AdRemover đã được Meshkov phát hiện.
"Tôi tải nó về và kiểm tra xem trình chặn quảng cáo này yêu cầu những gì. Và tôi phát hiện một vài yêu cầu khá kỳ lạ" - Meshkov nói.
 
Trình chặn quảng cáo được Meshkov chọn để "mổ xẻ" mang tên "AdRemover for Google Chrome", với hơn 10 triệu người dùng (đã tải về). Sau khi xem xét, Meshkov đã phát hiện trình chặn quảng cáo này có chứa một đoạn mã ẩn bên trong một hình ảnh, có khả năng được kích hoạt từ một máy chủ (ra lệnh) từ xa, đồng thời còn cho phép "tác giả" của trình chặn quảng cáo trên có thể thay đổi chức năng của nó mà không cần phải cập nhật. 
 
Đây là hành vi trái với chính sách của Google - chủ của trình duyệt Chrome. Sau khi Meshkov đăng tải một vài trường hợp về các trình duyệt giả mạo này lên blog của AdGuard, Chrome đã ngay lập tức xóa bỏ chúng khỏi cửa hàng phần mở rộng và người phát ngôn của Google cũng đã xác nhận điều này. 
 
Tuy nhiên, điều đáng chú ý và đáng lo ngại là, nhiều trình duyệt giả mạo trong số những trình được Meshkov xem xét đã có hàng triệu lượt tải về. Điều này cũng đồng nghĩa với việc hàng triệu người dùng Chrome đã và đang bị malwave lợi dụng.
 
Dù Meshkov không thể ngay lập tức phát hiện ra mục đích của việc phần mở rộng này thu thập dữ liệu, anh cho biết việc có một đường dẫn đến máy chủ từ xa trong phần mở rộng là cực kỳ nguy hiểm, bởi nó có thể thay đổi hành vi của trình duyệt theo nhiều cách khác nhau. Meshkov nói nó có thể thay đổi giao diện của các trang web, "vơ vét" thông tin từ người dùng, hay cài các phần mở rộng khác mà người dùng không hề hay biết.
 
Sau khi thông tin về các trình duyệt giả này được đăng, Yan Zhu - một kỹ sư phần mềm tại công ty phát triển trình duyệt bảo mật Brave, cũng đã xem qua những kết quả mà Meshkov phát hiện được. Cô cho biết, Chrome từng có tiền sử chấp nhận cho các ứng dụng mở rộng - dù được phát triển sơ sài, vào cửa hàng phần mở rộng của mình. Và dù chỉ là một phần mở rộng trông có vẻ "vô tích sự" như vậy, nhưng nó vẫn có thể bị hacker lợi dụng để thực hiện một số hành vi mờ ám.
 
"Ví dụ, phần mở rộng có thể đóng vai trò là người trung gian xử lý mọi yêu cầu xuất phát từ trình duyệt, nhưng nó lại không thể đọc được cơ sở dữ liệu mật mã đã mã hóa của trình duyệt vì việc này đòi hỏi một quyền truy cập mà các phần mở rộng không thể có được" - Zhu giải thích.
 
Về việc này, Meshkov cho biết, dù Google đã xóa bỏ các phần mở rộng mà anh trình báo, nhưng cửa hàng phần mở rộng của Chrome vẫn đang dung túng cho nhiều phần mở rộng "nhái", "rác" tương tự như những gì anh đã phát hiện. 
 
Theo đó, Meshkov khuyên người dùng hãy tìm kiếm trên chính trang web của nhà phát triển để cài phần mở rộng "chính chủ" mà bạn muốn, bởi chắc chắn họ sẽ đăng tải một đường dẫn đến cửa hàng của Chrome. Và hãy cẩn thận với bất kỳ thứ gì mà bạn đã, đang và sẽ cài vào trình duyệt web của mình, Meshkov nói thêm.