Acht extensies voor Google Chrome gehackt!

Gebruikers van deze Betternet en TouchVPN zouden mogelijk geconfronteerd worden met malware popups tijdens de aanval in juli. Het valt ook niet uit te sluiten dat er tijdens de hack data werd gestolen.

Acht getroffen extensies

De vaststelling werd gedaan door Kafeine, een groep van onderzoekers van het cybersecurity bedrijf Proofpoint in California. Deze experts ontdekten een relatief eenvoudige exploit waardoor de hackers de controle kregen over een aanzienlijk aantal accounts van Chrome ontwikkelaars. De volledige lijst met getroffen Chrome extensies:

• Copyfish
• Web Developer
• Chrometana 1.1.3
• Infinity New Tab 3.12.3
• Web Paint 1.2.1
• Social Fixer 20.1.1
• TouchVPN
• Betternet VPN

Eenvoudige techniek gebruikt

De onderzoekers zijn van mening dat er door de aanvallers een vrij eenvoudige techniek is gebruikt. App ontwikkelaars werden doorgestuurd naar een valse kopie van de loginpagina van de Google Account. Op deze vervalste loginpagina voerden de ontwikkelaars hun logingegevens in waardoor de hackers toegang kregen tot alle data op de Google Accounts van de ontwikkelaars. Op de Kafeine blog staat het volgende te lezen:

“Eind juli en begin augustus kon er worden vastgesteld dat verschillende applicaties voor de Google Chrome browser vatbaar waren voor hackers die zichzelf de toegang hadden verstrekt tot de accounts van diverse ontwikkelaars.”

Eerste hack bij Web Developer

Het nieuws stak voor het eerst de kop op op 12 augustus van dit jaar. Het was Chris Pederick die toen via Twitter aangaf dat hackers toegang hadden tot de populaire extensie Web Developer voor Chrome. Op dit ogenblik kozen de onderzoekers van Proofpoint er voor om de aangetaste versie van de app te downloaden in een poging om het probleem te isoleren. Uit het eerste onderzoek bleek meteen dat het ongeveer 10 minuten duurde na de installatie voordat de app kon communiceren via HTTPS met een server. Vanaf het ogenblik dat deze verbinding tot stand werd gebracht kon er nog meer data op het systeem in kwestie worden gestolen.

Geld was het doel van de hack

Zoals wel vaker het geval is was het doel van de hackers ook in deze zaak om (extra) geld te verdienen. Nadat de aangetaste extensies waren geïnstalleerd op een systeem verschenen er namelijk allerhande commerciële pop-ups die de hackers moesten voorzien van een continue stroom aan inkomsten. Een groot deel van de websites die op de systemen werden weergegeven zouden over een adult karakter beschikken. Anderzijds verschenen er ook meldingen dat gebruikers van het systeem in kwestie hun computer moesten (laten) herstellen.

Betternet hack al in juni?

Ook de Betternet VPN extensie voor Chrome werd getroffen door de hack. Daar zou de hack eind juni al zijn opgedoken. Het was gebruiker kburton07 die op deze datum aangaf dat hij werd geconfronteerd met een ongelofelijke hoeveelheid aan advertenties die plots opdoken bij het gebruik van de Google Chrome browser. De persoon in kwestie gebruikte de app om geblokkeerde websites tijdens zijn college te kunnen bereiken. Nadat hij had vastgesteld dat er zich ergens een probleem voordeed in zijn browser deactiveerde hij alle extensies om ze één per één terug aan te zetten. Op deze manier werd al snel duidelijk dat de Betternet app de oorzaak van het probleem vormde. Betternet reageerde snel op het probleem en gaf nadien aan dat ze het probleem op dezelfde dag van vaststelling hadden opgelost.