===== Maliciozni dodaci za web preglednike =====

===== Sažetak =====
Neželjene i maliciozne ekstenzije za web preglednike su uglavnom //keyloggeri// i/ili //adware//. Trgovine web preglednika nedovoljno verificiraju ekstenzije, a korisnici ne čitaju koje im dozvole daju. Zbog toga korisnicima kradu podatke, novce, profile društvenih mreža i druge privatne podatke. U ovom je radu ukratko, kroz par primjera, objašnjena  tematika problema.


Ključne riječi: Ekstenzije; //Adware//; //Keylogger//; Chrome Web Store

===== Uvod =====
Ekstenzije su programi koji dodaju novu funkcionalnost web pregledniku. Najčešće korištene ekstenziju su ad-blockeri, //password manageri// i //price trackeri//. Preglednici uglavnom imaju svoje službene repozitorije i trgovine gdje se mogu skinuti ekstenzije, a mogu se pronaći i skinuti ekstenzije iz neslužbenih izvora. Ekstenzije trebaju imati određene dozvole kako bi mogle funkcionirati. Neke zahtijevaju specifične dozvole poput pristupa kalendaru, čitanje povijesti pretraživanja, čitanje podataka samo na nekoj domeni, a postoji i “Read all, change all” dozvola koja nema ograničenja.
{{:racfor_wiki:seminari:extension_permissions.png?400|}}
===== Adware =====
Prva vrsta nepoželjnih ekstenzija je  ‘//Adware//’. Takve ekstenzije prikazuju reklame, otvaraju skočne prozore, dodaju nove alatne trake i zamijene zadanu tražilicu, a sve s ciljem zarade od prikaza reklama. //Adware// može pratiti što korisnik pretražuje kako bi servirao što prikladnije reklame za korisnika i povećao zaradu. //Adware// nije nužno maliciozan, ali usporava web preglednik.

{{:racfor_wiki:seminari:babylon_adware.png?400|}}

===== Keyloggeri =====
Možda najveću opasnost predstavljaju //keyloggeri//. //Keylogger//, koji je u ekstenziji, neprimjetno zapisuje svaku pritisnutu tipku u web pregledniku.

Često su konfigurirani tako da se aktiviraju tek kad se otvori određena domena, a to su uglavnom domene društvenih mreža, banaka, kriptomjenjačnica.

Primjer kako //keylogger// detektira domene:

''
if (window['location']['hostname'] === 'www.binance.org') { ... }
''

Cijeli kod ovog keyloggera kojem je cilj krada autorizacijskih podataka i privatnih kljuceva iz nekolicine popularnih kripto //walleta// nalazi se na: [[https://pastebin.com/raw/ZtUpWVvT]]

{{:racfor_wiki:seminari:chrome_extension_crypto_stolen.png?400|}}

===== Zaključak =====
Većina malicioznih ekstenzija ima do nekoliko stotina instalacija, često imaju nisku ocjenu i negativne recenzije. Njihove službene stranice možda imaju opis sličan spam mailu, gramatičke greške i nezgrapan dizajn pa bi ih trebalo biti lako izbjeći. Ako ekstenzija traži dozvole koje joj ne trebaju, npr. kalkulator traži dozvolu za screenshot ili lokaciju, najsigurnije bi bilo ne ju dodavati u preglednik. Problem je ako autor čeka da ekstenzija postane popularna i tek nakon par mjeseci/godina doda maliciozan kod ili proda nekome tko ce dodati maliciozan kod. U takvim slučajevima se ne može puno napraviti osim primijetiti da se nešto čudno dešava s web preglednikom i ručno ili uz pomoć nekog anti-malware programa odstraniti ekstenziju.

===== Literatura =====
[1] [[https://www.malwarebytes.com/adware]]

[2] [[https://www.kaspersky.com/blog/chrome-plugins-alert/38242/ | Dangerous Chrome extensions, Dec 25, 2020]]

[3] [[https://decrypt.co/33473/google-chrome-store-was-told-about-fake-bitcoin-apps-before-113000-theft | Google Chrome Store was told about fake Bitcoin apps before $113,000 theft, Jun 25, 2020]]