O investigaţie recentă realizată de cercetătorul John Tuckner, de la firma Security Annex, a scos la lumină un fenomen îngrijorător: nu mai puţin de 245 de extensii de browser, instalate pe aproape un milion de calculatoare şi dispozitive mobile, au fost concepute cu un scop ascuns. Pe lângă funcţiile legitime – de la organizarea marcajelor până la reglarea volumului difuzoarelor – aceste instrumente de aparentă utilitate dezactivează, în tăcere, mecanisme critice de securitate ale browserelor, pentru a facilita operaţiuni plătite de scraping web.
La prima vedere, extensiile aveau roluri variate şi complet inofensive. Însă, în realitate, toate conţin o bibliotecă JavaScript denumită MellowTel-js, capabilă să stabilească conexiuni permanente cu un server extern găzduit pe infrastructura AWS. Prin acest canal, date precum locaţia geografică a utilizatorului, lăţimea de bandă disponibilă şi starea generală a browserului sunt colectate şi evaluate. În paralel, scriptul injectează în paginile vizitate iframe-uri invizibile, care încarcă alte site-uri alese de sistemul MellowTel, fără ca utilizatorul să bănuiască ceva.
Pe măsură ce paginile se încarcă, biblioteca şterge antetele „Content-Security-Policy” şi „X-Frame-Options”, elemente esenţiale pentru integritatea comunicărilor web, ocoleşte detectarea roboţilor şi, în cele din urmă, împarte lăţimea de bandă a victimei între navigarea legitimă şi cererile automate de date. Această arhitectură distribuie practic sarcina de scraping pe mii de browsere, transformându-le în roboţi ascunşi la scară globală.
JavaScript-ul MellowTel este pus în legătură cu o companie numită Olostep, care se prezintă drept un furnizor de API-uri de scraping web de înaltă performanţă, capabil să ocolească măsurile anti-bot şi să ruleze până la 100.000 de cereri paralele. Clienţii plătitori livrează către Olostep adresa site-ului ţintă, iar reţeaua de extensii compromise preia sarcina de extragere a datelor, fără aprobarea sau măcar ştirea utilizatorilor finali.
Într-un interviu acordat publicaţiei Ars Technica, fondatorul MellowTel a susţinut că biblioteca a fost gândită pentru a partaja lăţimea de bandă neutilizată, fără a încărca reclame nesolicitate sau link-uri de afiliere şi fără colectare de date personale sensibile. „Principalul motiv pentru care companiile plătesc pentru trafic este accesarea datelor disponibile public de pe site-uri web într-un mod fiabil și rentabil”, a explicat el, adăugând că dezvoltatorii de extensii primesc 55% din venituri, iar restul se împarte între MellowTel şi infrastructura AWS.
Cu toate acestea, critici din domeniul securităţii şi confidenţialităţii semnalează că această practică deschide uşi largi pentru abuzuri. Într-un articol publicat de CyberInsider, autorii avertizează că amploarea şi modul de funcţionare al reţelei o fac „coptă pentru exploatare” de către actori maliţioşi. „Folosirea sesiunilor reale de browser, posibil în spatele VPN-urilor corporative sau în interiorul reţelelor private, introduce riscuri profunde. Printre acestea se numără accesul neautorizat la resurse interne, uzurparea traficului legitim și degradarea securităţii browserului din cauza eliminării antetelor impuse”, avertizează specialiştii.
După semnalările de malware, unele extensii au fost retrase ori dezactivate de magazinele oficiale de aplicaţii, iar altele au distribuit actualizări care au eliminat codul controversat. Însă zeci de extensii compromise rămân active, expunând în continuare milioanele de utilizatori care le-au instalat. Specialiştii recomandă verificarea imediată a listei complete de extensii vizate, disponibilă pe pagina oficială a anchetei Security Annex, și dezinstalarea oricărei aplicaţii semnalate.
Descoperirea ridică semne de întrebare privind măsurile de control al magazinelor de extensii și responsabilitatea dezvoltatorilor în protejarea intimității și securității utilizatorilor. Până când platformele nu implementează verificări mai riguroase, orice extensie trebuie analizată cu precauţie, iar permisiunile acordate să fie revizuite constant, pentru a preveni ca browserul nostru personal să devină un instrument de colectare ilegală de date.
