Google verwijdert 32 Chrome-extensies vanwege malware

Google haalt maar liefst 32 extensies uit de Chrome-winkel nadat onderzoekers malware terugvinden in de code.

Met Chrome-extensies is het mogelijk om je internetervaring een flinke boost te geven: allerlei handigheden om bijvoorbeeld reclame op YouTube mee over te slaan, om je plakbord te beheren, om het geluid van Chrome wat luider te zetten dan het systeem toelaat. Die functies zitten verwerkt in de 32 extensies die Google nu offline haalt omdat er malware in zit.

Aan de oppervlakte lijken de extensies allemaal te doen waarvoor ze gemaakt zijn. Cybersecurity-onderzoeker Wladimir Palant ontdekte echter code in de ‘PDF Toolbox’-extensie waarin verdachte code stond. Die kon verborgen blijven omdat de code eruitzag als een reguliere ‘API call’. Zulke API-calls worden gebruikt om informatie of diensten van een server te krijgen. Gek genoeg werd de informatie die API call moest verzamelen nergens meer gebruikt in de code. Reden genoeg voor Palant om op onderzoek uit te gaan.

De ontdekking van de code in PDF Toolbox bracht een bal aan het rollen: al snel ontdekte de onderzoeker nog achttien extensies waarin dezelfde code-snippet verwerkt zat. Wat later ontdekt ook Avast dat er iets niet helemaal snor zit met de extensies. Het cybersecuritybedrijf meldde dat, net zoals Palant, aan Google. Pas na de melding van Avast werden de Chrome-extensies met malware in offline gehaald.

Om welke extensies gaat het?
Het gaat in totaal om 32 extensies die offline werden gehaald. Wladimir Palant lijst er op zijn website echter 34 op, met in totaal 87 miljoen gebruikers. Het zou goed kunnen dat het gebruikersaantal in werkelijkheid lager ligt: wie malware verspreidt via extensies wil doorgaans dat ze er zo betrouwbaar mogelijk uitzien en een hoog gebruikersaantal helpt daarbij.

De twintig meest gedownloade extensies zijn:

Autoskip for Youtube
Soundboost
Crystal Ad block
Brisk VPN
Clipboard Helper
Maxi Refresher
Quick Translation
Easyview Reader view
PDF toolbox
Epsilon ad blocker
Craft Cursors
Alfablocker ad blocker
Zoom Plus
Base Image Downloader
Clickish fun cursors
Cursor A custom cursor
Amazin Dark Mode
Maximum Color Changer for YouTube
Awesome Auto Refresh
Venus Adblock
Wat zijn de gevolgen?
Stuk voor stuk zijn het extensies die wel degelijk nuttig kunnen zijn, moesten ze geen malware met zich meedragen. Maar wat voor schade kan zo’n extensie precies aanrichten?

Wanneer je een webpagina bezoekt, kan een extensie daar JavaScript-code injecteren. Zo kan aan “search hijacking” gedaan worden. De extensie kaapt als het ware je zoekopdracht en helpt hackers geld te verdien door je allerlei advertenties voor te schotelen, je langs links sturen waar ze geld mee verdienen en door je persoonlijke informatie door te sluizen.

Oplossing
De makkelijkste manier om je browser te herstellen is door hem helemaal te resetten. Je zal je extensies dan wel even opnieuw moeten downloaden en installeren. Heel wat werk, maar je bent er wel meteen zeker van dat er niemand meer met je meekijkt.

Je kan Google Chrome resetten door rechtsboven in het venster op de drie puntjes te klikken en naar de instellingen te navigeren. Daarna zoek je in de zijbalk naar “instellingen resetten”. Na een paar keer klikken is je browser dan opnieuw ingesteld.