.
As extensões compartilham outras semelhanças duvidosas ou suspeitas. Grande parte do código em cada um é altamente ofuscado, uma opção de design que não oferece nenhum benefício além de complicar o processo para analisar e entender como ele se comporta.
Todos, exceto um deles, são não listado na loja da web do Chrome. Essa designação torna uma extensão visível apenas para usuários com a longa sequência de pseudorandom no URL da extensão e, portanto, eles não aparecem na loja da web ou nos resultados de pesquisa de mecanismo de pesquisa. Não está claro como essas 35 extensões não listadas poderiam ter recebido 4 milhões de instalações coletivamente ou, em média, aproximadamente 114.000 instalações por extensão, quando eram tão difíceis de encontrar.
Além disso, 10 deles são carimbados com a designação “em destaque”, que Google reservas Para desenvolvedores cujas identidades foram verificadas e “siga nossas melhores práticas técnicas e atenda a um alto padrão de experiência e design do usuário”.
Um exemplo é a extensão Proteção de extensão de escudo de incêndioque, ironicamente, pretende verificar as instalações do Chrome quanto à presença de qualquer extensão suspeita ou maliciosa. Um dos principais arquivos JavaScript que executa referências vários domínios questionáveis, onde eles podem fazer upload de dados e baixar instruções e código:
URLs que disparam referências de proteção de extensão de escudo em seu código.
Crédito: Anexo seguro
Um domínio em particular – uknow.com – está listado nos 34 aplicativos restantes.
Tuckner tentou analisar o que as extensões fizeram neste site, mas foi amplamente frustrado pelo código ofuscado e outras etapas que o desenvolvedor tomou para esconder seu comportamento. Quando o pesquisador, por exemplo, executou a extensão do escudo de incêndio em um dispositivo de laboratório, ele abriu uma página em branco. Clicar no ícone de uma extensão instalada geralmente fornece um menu de opções, mas o incêndio não exibia nada quando ele o fez. Tuckner então ligou um Trabalhador de serviço em segundo plano Nas ferramentas de desenvolvedor do Chrome para buscar pistas sobre o que estava acontecendo. Ele logo percebeu que a extensão conectada a um URL em FireShieldit.com e realizou alguma ação na categoria genérica “Browser_Action_Clicked”. Ele tentou desencadear eventos adicionais, mas veio de mãos vazias.
.
