Las extensiones para Google Chrome y aplicaciones de Android son peligrosas – He aquí la razón
Fue una mala semana para millones de personas que confían en Google para aplicaciones para Android y extensiones de Chrome.
No es de extrañar que Google tenga problemas para mantenerse al día con la vigilancia de su tienda de aplicaciones. Desde el lunes, los investigadores han informado que cientos de aplicaciones de Android y extensiones de Chrome con millones de instalaciones desde los sitios oficiales de la compañía han incluido funciones para husmear en los archivos de los usuarios, manipular el contenido de los portapapeles e inyectar código deliberadamente desconocido en las páginas web.
Google eliminó muchas, pero no todas, las extensiones y aplicaciones maliciosas, según dijeron los investigadores. No obstante, esto ocurrió después de que se le informó y, para entonces, estaban en millones de dispositivos, y posiblemente en cientos de millones. Los investigadores no están contentos.
Un lugar muy triste
“No soy un fanático del enfoque de Google”, escribió el desarrollador e investigador de extensiones Wladimir Palant. En los días previos a Chrome, cuando Firefox tenía una parte más grande de la cuota de navegadores, personas reales revisaban las extensiones antes de ponerlas a disposición en el mercado de Mozilla. Google adoptó un enfoque diferente mediante el uso de un proceso de revisión automatizado, que Firefox luego copió.
“Dado que las revisiones automáticas a menudo pierden extensiones maliciosas y Google reacciona muy lentamente a los informes (de hecho, rara vez reaccionan), esto deja a los usuarios en un lugar muy triste”-
Palant.
Los investigadores y los defensores de la seguridad han dirigido durante mucho tiempo las mismas críticas al proceso de Google para revisar las aplicaciones de Android antes de ponerlas a disposición en su Play Store. La semana pasada proporcionó una razón clara para el descontento.
El lunes, la compañía de seguridad Dr.Web informó que encontró 101 aplicaciones con 421 millones de descargas reportadas desde Play Store que contenían código que permitía una gran cantidad de actividades de software espía. Estas actividades incluyen:
- Obtener una lista de archivos en directorios especificados
- Verificación de la presencia de archivos o directorios específicos en el dispositivo
- Envío de un archivo desde el dispositivo al desarrollador
- Copiar o sustituir el contenido del portapapeles.
Espiando
El investigador de ESET, Lukas Stefanko, analizó las aplicaciones reportadas por Dr.Web y confirmó los hallazgos. Él aseguró que para que la verificación de archivos funcione, los usuarios primero tendrían que aprobar un permiso conocido como READ_EXTERNAL_STORAGE. Este, como su nombre lo indica, permite que las aplicaciones lean archivos almacenados en un dispositivo. Si bien ese es uno de los permisos más confidenciales que un usuario puede otorgar, se requiere para realizar muchos de los supuestos propósitos de las aplicaciones, como la edición de fotos, la administración de descargas y el trabajo con multimedia, aplicaciones de navegador o la cámara.
Dr.Web dijo que las funciones de spyware fueron proporcionadas por un kit de desarrollo de software (SDK) que se usó para crear cada aplicación. Los SDKs ayudan a agilizar el proceso de desarrollo al automatizar ciertos tipos de tareas que se realizan comúnmente. Dr.Web identificó el SDK que permite la verificación como SpinOK. Los intentos de contactar al desarrollador de SpinOK para obtener comentarios no tuvieron éxito.
El viernes, la empresa de seguridad CloudSEK amplió la lista de aplicaciones que utilizan SpinOK a 193 y dijo que, de ellas, 43 seguían disponibles en la Play Store. En un correo electrónico, un investigador de CloudSEK escribió:
El spyware Android.Spy.SpinOk es una amenaza muy preocupante para los dispositivos Android. Esto porque posee la capacidad de recopilar archivos de dispositivos infectados y transferirlos a atacantes malintencionados. Esta recopilación de archivos no autorizada pone en riesgo de exposición o mal uso la información confidencial y personal. Además, la capacidad del spyware para manipular el contenido del portapapeles agrava aún más la amenaza, lo que podría permitir a los atacantes acceder a datos confidenciales como contraseñas, números de tarjetas de crédito u otra información confidencial. Las implicaciones de tales acciones pueden ser graves y dar lugar a robo de identidad, fraude financiero y diversas violaciones de la privacidad.
Google Chrome afectado
La semana no fue mejor para los usuarios de Chrome que agregan extensiones de Chrome Web Store de Google. El miércoles, Palant informó de 18 extensiones que contenían código ofuscado deliberadamente que llegaba a un servidor ubicado en serasearchtop[.]com. Una vez allí, las extensiones inyectaban JavaScript misterioso en cada página web que visitaba un usuario. En total, las 18 extensiones tuvieron unas 55 millones de descargas.
El viernes, la firma de seguridad Avast confirmó los hallazgos de Palant e identificó 32 extensiones con 75 millones de descargas reportadas. No obstante, Avast afirmó que los recuentos de descargas pueden haber sido inflados artificialmente.
Se desconoce con precisión qué hizo el JavaScript inyectado porque Palant o Avast no pudieron ver el código. Si bien ambos sospechan que el propósito era secuestrar los resultados de búsqueda y enviar spam a los usuarios con anuncios, dicen que las extensiones fueron más allá de ser solo spyware y, en cambio, constituyeron malware.
“Ser capaz de inyectar código JavaScript arbitrario en todas y cada una de las páginas web tiene un enorme potencial de abuso. Redireccionar las páginas de búsqueda es solo la única forma *confirmada* en la que se ha abusado de este poder”.
¿Estoy infectado?
Con tantas aplicaciones y extensiones reportadas por múltiples investigadores, existe cierta superposición. Aún así, no hay duda de que en la última semana, se identificaron cientos de extensiones y aplicaciones maliciosas descargadas millones de veces de los sitios de Google.
Además de emitir declaraciones prefabricadas que dicen que Google se toma en serio la seguridad del usuario, los representantes de la compañía prácticamente se mantienen en silencio ante preguntas sobre productos maliciosos disponibles en sus sitios. La compañía generalmente elimina rápidamente las extensiones y aplicaciones maliciosas una vez que se reportan. No obstante, aún tiene problemas para detectarlas durante su proceso de revisión o para verificar si hay malicia recién agregada una vez que se permite su ingreso.
Después de que se presentó esta historia, un representante de Google envió una declaración:
“La seguridad de los usuarios y desarrolladores es el núcleo de Google Play. Hemos revisado informes recientes sobre el SDK de SpinOK y estamos tomando las medidas adecuadas en las aplicaciones que infringen nuestras políticas. Los usuarios también están protegidos por Google Play Protect, que advierte a los usuarios de las aplicaciones conocidas por exhibir un comportamiento malicioso en los dispositivos Android con Google Play Services, incluso cuando esas aplicaciones provienen de otras fuentes.”.
En cuanto a las extensiones maliciosas, la respuesta fue la siguiente:
“Chrome Web Store cuenta con políticas para mantener a los usuarios seguros que todos los desarrolladores deben cumplir. Nos tomamos en serio las reclamaciones de seguridad y privacidad contra las extensiones, y cuando encontramos extensiones que violan nuestras políticas, tomamos las medidas apropiadas. Estas extensiones reportadas han sido eliminadas de Chrome Web Store”.
Google generalmente no notifica a los usuarios una vez que descubre que han instalado una de sus extensiones maliciosas. El resto de este artículo incluye identificadores que los usuarios pueden usar para determinar si han sido infectados.
Aplicaciones infectadas
La lista completa de aplicaciones reportadas por Dr.Web se encuentra aquí.
Las aplicaciones reportadas por CloudSEK son:
- com.hexagon.blocks.colorful.resixlink
- com.macaronmatch.fun.gp
- com.macaron.boommatch.gp
- com.blast.game.candy.candyblast
- com.tilermaster.gp
- com.crazymagicball.gp
- com.cq.merger.ww.bitmerger
- com.happy2048.mergeblock
- com.carnival.slot.treasure.slotparty
- com.holiday2048.gp
- com.richfive.money.sea
- com.hotbuku.hotbuku
- com.crazyfruitcrush.gp
- com.twpgame.funblockpuzzle
- com.sncgame.pixelbattle
- com.cute.macaron.gp
- com.slots.lucky.win
- com.happy.aquarium.game
- com.blackjack.cash.poker
- vip.minigame.idledino
- com.circus.coinpusher.free
- com.diamond.block.gp
- com.boommatch.hex.gp
- com.guaniu.deserttree
- com.snailbig.gstarw
- com.tunai.instan.game
- com.yqwl.sea.purecash
- com.block.bang.blockbigbang
- com.chainblock.merge2048.gp
- com.snailbig.gstarfeelw
- com.ccxgame.farmblast
- com.bubble.connect.bitconnect
- com.acemegame.luckyslot
- com.tianheruichuang.channel3
- com.kitty.blast.lucky.pet.game
- com.magicballs.games
- com.bird.merge.bdrop
- com.acemegame.luckycashman
- free.vpn.nicevpn
- com.vegas.cash.casino
- com.meta.chip.metachip
- com.guaniu.lightningslots
- vip.minigame.RollingBubblePuzzle
Extensiones
Las extensiones afectadas reportadas por Palant, por su parte, son:
| Nombre | USUARIOS ACTIVOS SEMANALES | ID DE EXTENSIÓN |
| 9,008,298 | lgjdgmdbfhobkdbcjnpnlmhnplnidkkp | |
| Soundboost | 6,925,522 | chmfnmjfghjpdamlofhlonnnnokkpbao |
| 6,869,278 | lklmhefoneonjalpjcnhaidnodopinib | |
| 5,595,420 | ciifcakemmcbbdpmljdohdmbodagmela | |
| 3,499,233 | meljmedplehjlnnaempfdoecookjenph | |
| 3,483,639 | lipmdblppejomolopniipdjlpfjcojob | |
| 2,797,773 | lmcboojgmmaafdmgacncdpjnpnnhpmei | |
| 2,786,137 | icnekagcncdgpdnpoecofjinkplbnocm | |
| 2,782,790 | bahogceckgcanpcoabcdgmoidngedmfo | |
| 2,571,050 | bkpdalonclochcahhipekbnedhklcdnp | |
| 2,437,224 | magnkhldhhgdlhikeighmhlhonpmlolk | |
| Alpha Blocker ad blocker | 2,430,636 | edadmcnnkkkgmofibeehgaffppadbnbi |
| 2,370,645 | ajneghihjbebmnljfhlpdmjjpifeaokc | |
| 2,366,136 | nadenkhojomjfdcppbhhncbfakfjiabp | |
| 2,353,436 | pbdpfhmbdldfoioggnphkiocpidecmbp | |
| 2,237,147 | hdgdghnfcappcodemanhafioghjhlbpb | |
| Amazing Dark Mode | 2,228,049 | fbjfihoienmhbjflbobnmimfijpngkpa |
| 2,226,293 | kjeffohcijbnlkgoaibmdcfconakaajm | |
| Awesome Auto Refresh | 2,222,284 | djmpbcihmblfdlkcfncodakgopmpgpgh |
| 1,973,783 | obeokabcpoilgegepbhlcleanmpgkhcp | |
| 1,967,202 | mcmdolplhpeopapnlpbjceoofpgmkahc | |
| 1,852,707 | dppnhoaonckcimpejpjodcdoenfjleme | |
| Volume Frenzy | 1,626,760 | idgncaddojiejegdmkofblgplkgmeipk |
| 1,493,741 | deebfeldnfhemlnidojiiidadkgnglpi | |
| 1,471,726 | gfbgiekofllpkpaoadjhbbfnljbcimoh | |
| 1,460,691 | pbebadpeajadcmaoofljnnfgofehnpeo | |
| 1,459,488 | flmihfcdcgigpfcfjpdcniidbfnffdcf | |
| 1,457,548 | pinnfpbpjancnbidnnhpemakncopaega | |
| 1,456,013 | iicpikopjmmincpjkckdngpkmlcchold | |
| Leap Video Downloader | 1,454,917 | bjlcpoknpgaoaollojjdnbdojdclidkh |
| 1,451,822 | okclicinnbnfkgchommiamjnkjcibfid | |
| Qspeed Video Speed Controller | 732,250 | pcjmcnhpobkjnhajhhleejfmpeoahclc |
| HyperVolume | 592,479 | hinhmojdkodmficpockledafoeodokmc |
| Light picture-in-picture | 172,931 | gcnceeflimggoamelclcbhcdggcmnglm |
Los nombres que no están tachados indican extensiones que no se habían eliminado en el momento en que se realizó la publicación de Palant. Hasta el viernes, según Google, todas las extensiones reportadas habían sido eliminadas.
Identificadores de extensión proporcionados por Avast:
- aeclplbmglgjpfaikihdlkjhgegehbbf
- afffieldplmegknlfkicedfpbbdbpaef
- ajneghihjbebmnljfhlpdmjjpifeaokc
- ameggholdkgkdepolbiaekmhjiaiiccg
- bafbedjnnjkjjjelgblfbddajjgcpndi
- bahogceckgcanpcoabcdgmoidngedmfo
- bikjmmacnlceobeapchfnlcekincgkng
- bkbdedlenkomhjbfljaopfbmimhdgenl
- bkflddlohelgdmjoehphbkfallnbompm
- bkpdalonclochcahhipekbnedhklcdnp
- bppfigeglphkpioihhhpbpgcnnhpogki
- cajcbolfepkcgbgafllkjfnokncgibpd
- ciifcakemmcbbdpmljdohdmbodagmela
- deebfeldnfhemlnidojiiidadkgnglpi
- diapmighkmmnpmdkfnmlbpkjkealjojg
- dlnanhjfdjgnnmbajgikidobcbfpnblp
- dppnhoaonckcimpejpjodcdoenfjleme
- edadmcnnkkkgmofibeehgaffppadbnbi
- edaflgnfadlopeefcbdlcnjnfkefkhio
- edailiddamlkedgjaoialogpllocmgjg
- edmmaocllgjakiiilohibgicdjndkljp
- eibcbmdmfcgklpkghpkojpaedhloemhi
- enofnamganfiiidbpcmcihkihfmfpobo
- epmmfnfpkjjhgikijelhmomnbeneepbe
- fcndjoibnbpijadgnjjkfmmjbgjmbadk
- fejgiddmdpgdmhhdjbophmflidmdpgdi
- ffiddnnfloiehekhgfjpphceidalmmgd
- fgpeefdjgfeoioneknokbpficnpkddbl
- fhnlapempodiikihjeggpacnefpdemam
- finepngcchiffimedhcfmmlkgjmeokpp
- flmihfcdcgigpfcfjpdcniidbfnffdcf
- fpfmkkljdiofokoikgglafnfmmffmmhc
- gdlbpbalajnhpfklckhciopjlbbiepkn
- geokkpbkfpghbjdgbganjkgfhaafmhbo
- gfbgiekofllpkpaoadjhbbfnljbcimoh
- ghabgolckcdgbbffijkkpamcphkfihgm
- glfondjanahgpmkgjggafhdnbbcidhgf
- gliolnahchemnmdjengkkdhcpdfehkhi
- gnmjmennllheofmojjffnidneaohleln
- hdgdghnfcappcodemanhafioghjhlbpb
- hdifogmldkmbjgbgffmkphfhpdfhjgmh
- hhhbnnlkhiajhlfmedeifcniniopfaoo
- higffkkddppmfcpkcolamkhcknhfhdlo
- hmakjfeknhkfmlckieeepnnldblejdbd
- icnekagcncdgpdnpoecofjinkplbnocm
- iejlgecgghdfhnappmejmhkgkkakbefg
- igefbihdjhmkhnofbmnagllkafpaancf
- igfpifinmdgadnepcpbdddpndnlkdela
- iicpikopjmmincpjkckdngpkmlcchold
- imfnolmlkamfkegkhlpofldehcfghkhk
- jbolpidmijgjfkcpndcngibedciomlhd
- jjooglnnhopdfiiccjbkjdcpplgdkbmo
- jlhmhmjkoklbnjjocicepjjjpnnbhodj
- kafnldcilonjofafnggijbhknjhpffcd
- keecjmliebjajodgnbcegpmnalopnfcb
- kjeffohcijbnlkgoaibmdcfconakaajm
- lcdaafomaehnnhjgbgbdpgpagfcfgddg
- lgjdgmdbfhobkdbcjnpnlmhnplnidkkp
- lhpbjmgkppampoeecnlfibfgodkfmapd
- likbpmomddfoeelgcmmgilhmefinonpo
- lipmdblppejomolopniipdjlpfjcojob
- lklmhefoneonjalpjcnhaidnodopinib
- llcogfahhcbonemgkdjcjclaahplbldg
- lmcboojgmmaafdmgacncdpjnpnnhpmei
- lpejglcfpkpbjhmnnmpmmlpblkcmdgmi
- magnkhldhhgdlhikeighmhlhonpmlolk
- mcmdolplhpeopapnlpbjceoofpgmkahc
- meljmedplehjlnnaempfdoecookjenph
- nadenkhojomjfdcppbhhncbfakfjiabp
- nbocmbonjfbpnolapbknojklafhkmplk
- ngbglchnipjlikkfpfgickhnlpchdlco
- njglkaigokomacaljolalkopeonkpbik
- obeokabcpoilgegepbhlcleanmpgkhcp
- obfdmhekhgnjollgnhjhedapplpmbpka
- oejfpkocfgochpkljdlmcnibecancpnl
- okclicinnbnfkgchommiamjnkjcibfid
- olkcbimhgpenhcboejacjpmohcincfdb
- ooaehdahoiljphlijlaplnbeaeeimhbb
- pbdpfhmbdldfoioggnphkiocpidecmbp
- pbebadpeajadcmaoofljnnfgofehnpeo
- pidecdgcabcolloikegacdjejomeodji
- pinnfpbpjancnbidnnhpemakncopaega
