Хорватский специалист в сфере информационной безопасности Боян Здрня (Bojan Zdrnja) обнаружил, что встроенная функция синхронизации Google Chrome может использоваться вредоносными расширениями для кражи паролей и прочих персональных данных с устройств пользователей.
Как сообщает ресурс SecurityLab.ru, неназванное вредоносное расширение использует функцию Chrome Sync для связи с удалённым сервером злоумышленников. Во время этого процесса они могут получить пароли и другие данные. Эта функция нужна для синхронизации данных между устройствами пользователей: паролей, закладок, истории просмотров, настроек браузера и расширений. Всё это хранится в облаке на серверах Google.
Вредоносное ПО пряталось под расширением безопасности компании Forcepoint, позволяя злоумышленнику контролировать зараженный браузер. Код, содержащийся в нём, создавал специальное текстовое поле для хранения ключей токенов, которые синхронизировались с облаком Google. Там могли быть разные данные, включая пароли.
«Чтобы скачать, прочитать или удалить эти ключи, злоумышленнику нужно было лишь войти в систему с той же учётной записью в Google, но в другом браузере Chrome (это могла быть одноразовая учётная запись). После этого он мог взаимодействовать с браузером Chrome в сети жертвы, злоупотребляя инфраструктурой Google», — написал Боян Здрня на форуме Internet Storm Center.
Эксперт советует использовать корпоративные функции Chrome и групповые политики, чтобы контролировать работу установленных расширений и при необходимости блокировать их.
