¿Es la extensión de su navegador una puerta trasera de botnet? – Krebs sobre seguridad


Una empresa que alquila acceso a más de 10 millones de navegadores web para que los clientes puedan ocultar sus verdaderas direcciones de Internet ha construido su red pagando a los fabricantes de extensiones de navegador para que incluyan silenciosamente su código en sus creaciones. Esta historia examina la economía desigual del desarrollo de extensiones y por qué instalar una extensión puede ser una propuesta tan arriesgada.

Con sede en Singapur Infatica (.) Io es parte de una industria en crecimiento de firmas oscuras que intentan cortejar a los desarrolladores que mantienen extensiones de navegador populares: complementos de software de escritorio y dispositivos móviles disponibles para descargar desde manzana, Google, Microsoft y Mozilla diseñado para agregar funcionalidad o personalización a la experiencia de navegación de uno.

Algunas de estas extensiones han obtenido cientos de miles o incluso millones de usuarios. Pero aquí está el problema: a medida que crece la base de usuarios de una extensión, mantenerlas con actualizaciones de software y responder a las solicitudes de asistencia de los usuarios tiende a consumir una cantidad desmesurada del tiempo del autor. Sin embargo, los autores de extensión tienen pocas opciones para obtener una compensación económica por su trabajo.

Entonces, cuando aparece una empresa y ofrece comprar la extensión, o pagarle al autor para que incluya silenciosamente un código adicional, esa propuesta suele ser demasiado buena para dejarla pasar.

Infatica, por su parte, busca autores con extensiones que tengan al menos 50.000 usuarios. Un fabricante de extensiones que acepta incorporar el código de computadora de Infatica puede ganar entre $ 15 y $ 45 cada mes por cada 1,000 usuarios activos.

Un gráfico de Infatica que explica los posibles beneficios para los propietarios de extensiones.

Luego, el código de Infatica usa el navegador de cualquier persona que tenga instalada esa extensión para enrutar el tráfico web para los clientes de la empresa, incluidos los especialistas en marketing o cualquier persona que pueda pagar sus elevados cargos de suscripción mensual.

El resultado final es que cuando los clientes de Infatica navegan a un sitio web, ese sitio cree que el tráfico proviene de la dirección de Internet vinculada al usuario de la extensión, no al del cliente.

Infatica fija el precio de su servicio en función del volumen de tráfico web que un cliente busca anonimizar, desde $ 360 al mes por 40 gigabytes hasta $ 20,000 al mes por 10,000 gigabytes de tráfico de datos enviado a través de millones de computadoras residenciales.

LA ECONOMÍA DE LAS EXTENSIONES

Hao Nguyen es el desarrollador detrás ModHeader, una extensión utilizada por más de 400.000 personas para probar la funcionalidad de los sitios web facilitando a los usuarios la modificación de los datos compartidos con esos sitios. Cuando Nguyen se encontró gastando cantidades cada vez mayores de su tiempo y dinero en respaldar la extensión, intentó incluir anuncios en el programa para ayudar a compensar los costos.

Los usuarios de ModHeader protestaron en voz alta contra el cambio, y Nguyen eliminó los anuncios, que dijo que no le estaban generando mucho dinero de todos modos.

"Pasé al menos 10 años construyendo esto y no tuve suerte para monetizarlo". le dijo a KrebsOnSecurity.

Nguyen dijo que ignoró múltiples solicitudes de diferentes compañías que ofrecían pagarle por insertar su código, principalmente porque el código les dio a esas firmas la capacidad de inyectar lo que quisieran en su programa (y en los dispositivos de sus usuarios) en cualquier momento.

Luego vino Infatica, cuyo código era bastante sencillo en comparación, dijo. Restringió a la empresa a enrutar las solicitudes web a través de los navegadores de sus usuarios y no intentó acceder a componentes más sensibles de la experiencia del navegador del usuario, como contraseñas y cookies almacenadas, o ver la pantalla del usuario.

Más importante aún, el acuerdo le reportaría al menos $ 1,500 al mes, y posiblemente un poco más.

"Probé Infatica, pero a los pocos días obtuve muchas críticas negativas de los usuarios," él dijo. "No les gustó que la extensión pudiera estar usando su navegador como un proxy para ir a lugares no tan buenos como sitios de pornografía".

Nuevamente cedió y eliminó el código de Infatica.

UN ENTORNO RICO EN OBJETIVOS

En estos días, Nguyen está concentrando más de su tiempo en chrome-stats.com, que proporciona información detallada sobre más de 150.000 extensiones. El servicio es gratuito para uso limitado, pero los suscriptores que pagan una tarifa mensual pueden obtener acceso a más recursos, como versiones de extensión más antiguas y detalles sobre los componentes de su código.

Según chrome-stats.com, la mayoría de las extensiones (más de 100.000 de ellas) son abandonadas por sus autores o no se han actualizado en más de dos años. En otras palabras, hay una gran cantidad de desarrolladores que probablemente estén abiertos a que alguien más compre su creación y su base de usuarios.

Imagen: chrome-stats.com

La gran mayoría de las extensiones son gratuitas, aunque unas pocas que han atraído a un gran número de seguidores leales han podido cobrar por sus creaciones o por los servicios de suscripción vinculados a la extensión. Pero el año pasado, Google anunció que era cerrar las extensiones de pago de Chrome que se ofrecen en su Chrome Web Store.

Nguyen dijo que esto solo exacerbará el problema de los desarrolladores frustrados que recurren a ofertas de firmas de marketing poco fiables.

"Es un mercado realmente difícil para que los desarrolladores de extensiones puedan monetizar y obtener recompensas por mantener sus extensiones", dijo. “Hay toneladas de pequeños desarrolladores que no han podido hacer nada con sus extensiones. Es por eso que algunos de ellos entrarán en una integración turbia o venderán la extensión por algo de dinero y simplemente terminarán con ella ".

Una solicitud enviada por Infatica al desarrollador de la extensión SponsorBlock. Imagen: sponsor.ajay.app

¿QUIÉN ES INFATICA?

No está claro cuántas extensiones incorporan actualmente el código de Infatica. KrebsOnSecurity buscó extensiones que invocan varios dominios vinculados al servicio de proxy web de Infatica (p. Ej., extendbalanc (.) org, ipv4v6 (.) información). Esta investigación se realizó utilizando el sitio de Nguyen y crxcavator.io, un sitio de investigación de extensión similar propiedad del gigante de las redes Cisco Systems.

Esas búsquedas revelaron que el código de Infatica se ha asociado con al menos tres docenas de extensiones en los últimos años, incluidas varias que tenían más de 100.000 usuarios. Uno de ellos es Video Downloader Plus, que en un momento llegó a tener casi 1,4 millones de usuarios activos.

El fundador y director de Infatica – un residente de Biysk, Rusia nombrado Vladimir Fomenko – no respondió a múltiples solicitudes de comentarios.

Vladimir M. Fomenko, fundador de Infatica.

Fomenko es el único director de la VPN iNinja, otro servicio que ofusca la verdadera dirección de Internet de sus más de 400.000 usuarios. Es lógico que iNinja VPN no solo ofrezca a sus clientes una forma de ocultar su dirección de Internet, sino que también esté utilizando activamente esos mismos sistemas para enrutar el tráfico para otros clientes: un complemento del navegador Chrome y un bloqueador de anuncios con el mismo nombre cuyo código incluye El dominio “extenbalanc” de Infatica tiene 400.000 usuarios.

Eso pondría a Infatica en línea con las actividades de otro importante proveedor de VPN / proxy controvertido: Luminati, también conocido como "HolaVPN. " En 2015, los investigadores de seguridad descubierto que los usuarios de la extensión del navegador HolaVPN se estaban utilizando para canalizar el tráfico web hacia otras personas. De hecho, en la captura de pantalla anterior, se puede ver al equipo de marketing de Infatica comparando su modelo de negocio con el de HolaVPN.

Fomenko ha aparecido en dos historias anteriores de KrebsOnSecurity; ambos preocupados Servidores King (también conocido como "Hosting Solution Ltd.“), Una empresa de alojamiento que ha operado durante años y que atiende principalmente a sitios web para adultos.

En 2016, piratas informáticos sospechosos de trabajar para los servicios de seguridad estatales rusos bases de datos comprometidas para los sistemas electorales en Arizona e Illinois. Seis de las ocho direcciones de Internet identificado por el FBI ya que las fuentes del ataque se remontan a King Servers. En una entrevista con Los New York Times varios meses después, Fomenko negó rotundamente tener vínculos con la piratería.

Según el diario ruso Novaya Gazeta, las revelaciones sobre los vínculos del incidente de piratería de 2016 con King Servers dieron lugar a cargos de traición contra Sergey Mikhaylov, ex subjefe de la principal unidad contra el ciberdelito de Rusia.

Las autoridades rusas acusaron a Mikhaylov de haber avisado al FBI sobre información sobre Fomenko y King Servers. En 2019, Mikhaylov fue declarado culpable y sentenciado a 22 años en una colonia penal.

SEA PENSADO EN LA CONFIANZA DE LAS EXTENSIONES

Las extensiones del navegador, por muy útiles o divertidas que puedan parecer cuando las instala, generalmente tienen una gran cantidad de poder y pueden leer y / o escribir de manera efectiva todos los datos en sus sesiones de navegación. Los poderes otorgados a cada extensión se detallan a grandes rasgos en su "manifiesto", básicamente una descripción de lo que podrá acceder una vez que lo incorpore a su navegador.

Según chrome-stats.com de Nguyen, aproximadamente un tercio de todas las extensiones de Chrome, con mucho el navegador web más utilizado, no requieren permisos especiales. Pero el resto requiere que el usuario confíe mucho en el autor de la extensión. Por ejemplo, aproximadamente el 30 por ciento puede ver todos sus datos en todos los sitios web o en sitios web específicos, o indexar las pestañas abiertas y la actividad de navegación.

Imagen: chrome-stats.com

Más de 68.000 extensiones de Chrome permiten la ejecución de código arbitrario en el contexto de las páginas web, lo que permite que la extensión altere la apariencia y la funcionalidad de sitios específicos.

Espero que sea obvio a estas alturas, pero los lectores deben ser extremadamente cautelosos al instalar extensiones, apegándose principalmente a aquellas que cuentan con soporte activo y responden a las preocupaciones de los usuarios.

Personalmente, no hago mucho uso de las extensiones de navegador. En casi todos los casos, he considerado instalar uno. Los permisos solicitados me asustaron lo suficiente que finalmente decidí que no valía la pena correr el riesgo, dado que cualquier extensión puede volverse deshonesta a los caprichos de su autor.

Si usted es el tipo de persona que usa múltiples extensiones, puede ser conveniente adoptar un enfoque basado en el riesgo en el futuro. Dados los altos riesgos que normalmente conlleva la instalación de una extensión, considere cuidadosamente si realmente vale la pena tener la extensión. Esto se aplica igualmente a los complementos diseñados para sistemas de gestión de contenido de sitios web como WordPress y Joomla.

No acepte actualizar una extensión si de repente solicita más permisos que una versión anterior. Esto debería ser una bandera roja gigante de que algo no está bien. Si esto sucede con una extensión en la que confía, le recomendamos que la elimine por completo.

Además, nunca descargue e instale una extensión solo porque algún sitio web diga que la necesita para ver algún tipo de contenido. Hacerlo es casi siempre una propuesta de alto riesgo. Aquí entra en juego la Regla # 1 de las Tres Reglas de Seguridad en Línea de KrebsOnSecurity: "Si no fue a buscarla, no la instale". Finalmente, en caso de que desee instalar algo, asegúrese de obtenerlo directamente de la entidad que produjo el software.

Los usuarios de Google Chrome pueden ver las extensiones que hayan instalado haciendo clic en los tres puntos a la derecha de la barra de direcciones, seleccionando "Más herramientas" en el menú desplegable resultante y luego "Extensiones". En Firefox, haga clic en las tres barras horizontales junto a la barra de direcciones y seleccione "Complementos", luego haga clic en el enlace "Extensiones" en la página resultante para ver las extensiones instaladas.


Etiquetas: extensiones de Chrome, chrome-stats.com, Cisco Systems, crxcavator.io, extendbalanc, Hao Nguyen, HolaVPN, Infatica, iNinja VPN, Luminati, ModHeader, Vladimir M. Fomenko

Esta entrada se publicó el lunes 1 de marzo de 2021 a las 12:22 pm y está archivada bajo A Little Sunshine, The Coming Storm.
Puede seguir cualquier comentario a esta entrada a través de la fuente RSS 2.0.

Puede saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia original