Một khi cài đặt, phần mở rộng có tên 'Tiempo en colombia en vivo' ngăn người dùng truy xuất vào danh sách các ứng dụng hay phần mở rộng đã cài trên trình duyệt bằng cách chuyển hướng yêu cầu truy xuất thông thường vốn là chrome://extensions/ sang chrome://apps/?r=extensions. Nhà nghiên cứu bảo mật Pieter Arntz đến từ Malwarebytes cho biết ông đã thử theo nhiều cách, bao gồm cả việc tắt jаvascript trên trình duyệt, khởi động Chrome với tất cả các phần mở rộng đều đã vô hiệu hóa (Incognito Mode) và đổi tên thư mục lưu trữ phần mở rộng này nhưng không cách nào gỡ được. Do quá khó khăn để gỡ, Malwarebytes đã khuyên người dùng chạy một phiên bản miễn phí của công cụ bảo mật này để gỡ bỏ tự động.
Arntz cho biết ông đã cài phần mở rộng có cái tên dài dòng trên vào một chiếc máy ảo, Chrome tự động click vào hàng tá video YouTube và đây là dấu hiệu cho thấy chức năng chính của nó là 'cày view' cho video. Arntz vẫn chưa thể xác định phần mở rộng này có thực hiện các hoạt động giống malware hay không bởi nó chứa rất nhiều mã jаvascript khiến ông phải mất nhiều thời gian để phân tích.
'Tiempo en columbia en vivo' đã được tải về với 11000 lượt trước khi Google gỡ bỏ nhưng nó vẫn có thể tìm cách lây lan sang nhiều chiếc máy khác bởi lẽ rất nhiều trang web xấu đang sử dụng một kỹ thuật để lừa người dùng thiếu kinh nghiệm cài đặt các phần mở rộng không rõ nguồn gốc. Malwarebytes từng mô tả chi tiết trong một báo cáo bảo mật năm 2016 rằng các trang web này khai thác jаvascript để ép người dùng cài đặt bằng cách hiển thị một hộp thoại cho biết khách ghé thăm trang web phải cài đặt phần mở rộng, bằng không sẽ không thể tắt được trang web. Nếu nhấn hủy hoặc đóng tab duyệt trang web thì tiếp tục sẽ có một loạt các thông điệp khác hiện ra. Arntz cho biết ông đã báo cáo vụ việc cho Google vào ngày 29 tháng 12 và mãi đến thứ 4 vừa qua phần mở rộng trên mới được gỡ bỏ.
Ngoài ra, Arntz cũng phát hiện ra rằng một add-on trên Firefox cũng hoạt động theo cơ chế tương tự nhưng việc gỡ bỏ có phần đơn giản hơn. Tuy nhiên, add-on này không xuất hiện trên kho ứng dụng của Firefox.
'Tiempo en columbia en vivo' không phải là phần mở rộng độc hại duy nhất, trước Malwarebytes thì một công ty bảo mật khác có tên ICEBRG tìm thấy có đến 4 phần mở rộng chứa mã độc được phát hành trên Google Chrome Web Store và đã có hơn 500.000 lượt tải về tính cả 4.
Đại diện của Google đã nhanh chóng phản hồi trước sự việc khi cho biết: 'Chúng tôi đã tự động gỡ bỏ Tiempo en colombia en vivo và Play Red Ball 4 khỏi Chrome Web Store cũng như những chiếc máy tính của người dùng bị ảnh hưởng. Bảo mật là yếu tố cốt lõi của Chrome và trình duyệt này đã tự động chặn hàng ngàn phần mở rộng độc hại mỗi tháng.'
Về phần 'Tiempo en columbia en vivo', đại diện Google cho rằng sở dĩ phần mở rộng này khó gỡ bởi logo của nó màu xám gần như tiệp với màu của thanh công cụ Chrome. Thành thử ra người dùng khó phát hiện ra nó nằm ở đâu trên thanh công cụ từ đó có thể click chuột phải và gỡ bỏ như mọi khi.
Ngoài ra, Google có nhắc đến phần mở rộng giả mạo mang tên Play Red Ball 4 và James Oppenheim - biên tập viên của một trang web chuyên đánh giá game dành cho trẻ em cho biết ông đã chủ động email cho Google để thông báo rằng đây là một game giả, được đổi tên nhái theo game của ông nhưng nó vẫn nằm rất lâu trên Chrome Web Store.
Trong email, Oppenheim nói rằng cách đây vài hôm ông nhận được một yêu cầu xin mua lại phần mở rộng có tên Play Red Ball phiên bản 4 của ông từ một người có tên Ganesh đến từ Ấn Độ. Tuy nhiên, ông không phát triển Play Red Ball 4 nên nghĩ rằng đây chỉ là một email spam sai địa chỉ và không phản hồi. Tuy nhiên, những ngày sau đó nhân vật Ganesh này liên tục gởi email năn nỉ. Do đó, ông đã quyết định tìm hiểu về phần mở rộng Play Red Ball 4 mà người ta nhầm ông là người phát triển. Kết quả cho thấy đây là một trò chơi trên Chrome và điều thú vị hơn là nó có cái tên tương tự như nhiều phần mềm dành cho trẻ em khác. Thêm vào đó khi nhấp vào phần mở rộng này thì nó hiển thị cả trang web của ông JamesGames.com là trang chính thức của nhà phát triển đồng thời tên lập trình viên là James Extensions!.
Phần mở rộng này đã được đánh giá 4 sao nhưng rất nhiều phản hồi cho biết nó là malware. Như vậy khả năng rằng người đã phát hành nó biết rõ về những gì Oppenheim đang làm, cụ thể là đánh giá game dành cho trẻ em và sử dụng tên của ông để khiến malware này trở nên đáng tin cậy hơn. Ngay lập tức Oppenheim đã báo cáo với Google, yêu cầu gỡ phần mở rộng này hay ít nhất là gỡ thông tin trang web cũng như tên của ông ra khỏi phần mô tả nhưng không nhận được phản hồi. Phần mở rộng này đã được tải về đến 27781 lần và mới chỉ được gỡ xuống hôm thứ 4.
Qua 2 sự việc trên, có thể thấy Google đang gặp vấn đề trong khâu quản lý chất lượng phần mở rộng được lập trình viên phát hành trên Chrome Web Store. Google phản bác rằng Chrome quá phổ biến nên không ngạc nhiên khi nó trở thành mục tiêu hàng đầu của hacker. Hơn nữa, số lượng người dùng lỡ tay cài đặt các phần mở rộng độc hại trên Chrome chỉ chiếm một phần nhỏ trong tổng số người dùng trình duyệt này. Mặc dù vậy, thông điệp ở đây vẫn rõ ràng, Chrome có thể sở hữu cơ chế sandbox cách ly bảo mật tốt nhất hiện tại và các bản cập nhật bảo mật cũng được phát hành thường xuyên nhất trong số các trình duyệt chính nhưng phần mở rộng vẫn là điểm yếu chết người của Chrome. Người dùng, đặc biệt là những người không có nhiều kiến thức về kĩ thuật hoặc những mục tiêu lớn như doanh nghiệp có thể tránh cài đặt các phần mở rộng kiểu này trừ khi nó mang lại một lợi ích thực sự và cần phải tìm hiểu trước về lập trình viên tạo ra nó.
Theo: ArsTechnica
