Posted inCyberNews

Darmowy VPN, który działał jak narzędzie do przejmowania ruchu

Brak komentarzy.
Darmowy fałszywy VPN w Chrome Store

VPN-y zrobiły się modne. Instalujemy je, żeby ukryć IP, odpalić streaming z innego kraju, zabezpieczyć połączenia w hotelowym Wi-Fi albo po prostu poczuć się bezpieczniej. I nie ma w tym nic złego, problem zaczyna się wtedy, gdy ktoś wrzuca do sklepu „darmowe, szybkie i anonimowe” rozszerzenie, a użytkownicy klikają instaluj bez zastanowienia. Mało kto analizuje, kto stoi za takim VPN-em, jakie uprawnienia dostaje i jak realnie działa. W praktyce część z tych narzędzi ma więcej wspólnego z maszynką do zbierania danych niż z ochroną prywatności.

Raport przygotowany przez zespół LayerX Security jest bardzo dobrym przykładem tego, jak niewinnie wyglądająca wtyczka potrafi przejąć pełną kontrolę nad przeglądarką. Nie chodzi o jednorazowy incydent. To była kampania, która wracała wielokrotnie. Google usuwał kolejne wersje, ale autorzy wypychali następną. I choć użytkownicy myśleli, że instalują legalny i darmowy VPN, w praktyce oddawali kontrolę nad całym ruchem internetowym operatorom tej kampanii.

W tym tekście, opierając się wyłącznie na ustaleniach z badania LayerX, opisuję jak działał ten fałszywy VPN, dlaczego był tak skuteczny i czego uczy nas to o rozszerzeniach przeglądarki — zarówno jako użytkowników, jak i firmy.

Rozszerzenie, które wracało mimo usunięć ze sklepu

To, co od razu wyróżnia tę kampanię, to jej uporczywość. Badacze zauważyli, że rozszerzenia VPN z tej serii pojawiały się w Chrome Web Store od lat. Za każdym razem pod inną nazwą, ale schemat działania był bardzo podobny. Google je usuwał, jednak zanim zdążyło wyczyścić stare instalacje, autorzy mieli już w sklepie kolejną wersję.

Starsze iteracje miały ponad 9 milionów instalacji. Nowsza, analizowana w raporcie, wciąż była aktywna u około 31 tysięcy osób. I tu jest kluczowy problem – usunięcie ze sklepu nie usuwa rozszerzenia z przeglądarek. Jeśli ktoś je wcześniej zainstalował, nadal działa, a twórcy mogą mieć nad nim pełną kontrolę.

Ta trwałość kampanii nie jest przypadkowa. Autorom zależało, żeby rozszerzenie żyło długo i żeby kolejne wersje nie wyglądały podejrzanie. Stąd czyste materiały marketingowe, ładne ikonki, opisy o ochronie prywatności i darmowym VPN-ie bez limitu. Dla zwykłego użytkownika wszystko wyglądało profesjonalnie.

Jak działało rozszerzenie?

Na pierwszy rzut oka to po prostu kolejna wtyczka VPN. Po instalacji pojawiała się ikonka, można było kliknąć „connect” i teoretycznie ruch miał iść przez zabezpieczony tunel. Ale rzeczywiste zachowanie było zupełnie inne. LayerX ustalił, że zaraz po instalacji rozszerzenie łączyło się z infrastrukturą kontrolowaną przez operatorów całej kampanii. Pobierało z ich serwera plik konfiguracyjny, który był kluczowy dla dalszego działania.

Konfiguracja pozwalała twórcom zmieniać zachowanie wtyczki w dowolnym momencie bez publikacji nowej wersji w Chrome Web Store. Mogli zdalnie włączać funkcje, wyłączać je, podmieniać reguły przekierowania ruchu, a nawet określać, w jakich sytuacjach rozszerzenie ma zachowywać się inaczej (np. jeśli wykryje środowisko analityczne).

To wszystko było możliwe dzięki uprawnieniom, które wtyczka wymuszała w trakcie instalacji. Wśród nich były:

  • webRequest — pozwala podglądać każdy ruch HTTP i modyfikować go w locie,
  • proxy — umożliwia ustawienie przeglądarki tak, aby cały ruch webowy przechodził przez serwery atakującego,
  • declarativeNetRequest — daje możliwość tworzenia dynamicznych reguł dotyczących ruchu.

To nie są uprawnienia kosmetyczne. To nie jest dostęp do ikonki czy strony nowej karty. To dostęp do mechanizmów, które pozwalają przejąć komunikację użytkownika na poziomie, który dla wielu osób jest niewyobrażalny. Użytkownik klika „tak, zgadzam się”, bo widzi słówko VPN i myśli, że tak ma być.

Co mogli zrobić operatorzy po przejęciu proxy?

Kiedy rozszerzenie ustawia przeglądarkę na działanie przez proxy kontrolowane przez twórców kampanii, otwierają się bardzo konkretne możliwości. Badacze wskazują, że:

  • mogli przekierowywać użytkownika na dowolne strony – zarówno prawdziwe, jak i phishingowe,
  • mieli możliwość wstrzykiwania kodu JavaScript – np. reklam, fałszywych formularzy, dodatkowych skryptów,
  • mogli manipulować odpowiedziami serwera – co w praktyce oznacza podstawianie treści,
  • byli w stanie blokować działanie innych rozszerzeń korzystających z proxy – co pozwalało im „zagłuszyć” konkurencję lub narzędzia bezpieczeństwa.

W efekcie użytkownik „czuł”, że VPN działa. Ikonka się świeciła, połączenie niby się zestawiało, a internet normalnie działał. Tylko że cały ruch przechodził przez serwery przestępców, którzy mogli robić z nim dosłownie wszystko — od analizy, przez manipulację, po podmienianie stron logowania.

Co zbierała sama wtyczka?

Oprócz przechwytywania ruchu, rozszerzenie samo wysyłało dane do zewnętrznego serwera. Badacze zauważyli regularne raporty z informacjami o:

  • odwiedzanych stronach,
  • aktywnych kartach,
  • listach zainstalowanych rozszerzeń.

Nawet jeśli pojedyncze wartości były hashowane, profil użytkownika dało się odtworzyć. Wiedza o tym, jakich dodatków ktoś używa, jest również cenna z punktu widzenia atakujących bo pozwala przygotować bardziej precyzyjne kampanie, np. wykorzystujące konflikty między rozszerzeniami.

Wtyczka potrafiła także opóźniać aktywację swoich funkcji, żeby nie wzbudzić podejrzeń zaraz po instalacji. W niektórych sytuacjach była w stanie sama się wyłączyć lub nawet odinstalować, jeśli wykryła narzędzie analityczne. To świadczy o tym, że jej autorzy mieli doświadczenie w budowaniu oprogramowania, które ma „przetrwać” w środowisku ofiary.

Co to znaczy dla zwykłego użytkownika?

VPN w idealnym scenariuszu ma pełnić rolę tarczy i szyfrować ruch, ukrywać go przed osobami trzecimi. W przypadku analizowanego rozszerzenia działało to odwrotnie. Zamiast ochrony mieliśmy narzędzie, które:

  • przejmowało ruch,
  • mogło go modyfikować,
  • mogło wstrzykiwać treści,
  • mogło obserwować odwiedzane strony.

I robiło to w tle, bez widocznych zmian w działaniu przeglądarki.

Najbardziej niebezpieczne w tym wszystkim jest przekierowywanie ruchu. Wtedy atakujący może podsunąć użytkownikowi stronę logowania, która wygląda identycznie jak prawdziwa a jedyną różnicą jest to, że dane trafiają najpierw do niego. Może też podmienić komunikaty, dodać wyskakujące okna, zmanipulować formularze, a wszystko to w sposób niewidoczny z poziomu Chrome.

Nawet po usunięciu rozszerzenia ze sklepu, u osób, które zainstalowały je wcześniej, nadal działało. A ponieważ pobierało konfigurację zdalnie, to ta sama wersja mogła zmieniać swoje funkcje w czasie. To oznacza, że ktoś mógł instalować rozszerzenie, które początkowo wyglądało na bezpieczne — a miesiąc później zaczęło się zachowywać zupełnie inaczej.

Jakie wnioski płyną z tego dla firm?

Tu ryzyko jest dużo większe niż w przypadku zwykłych użytkowników. Przeglądarka to dziś narzędzie pracy. Z jej poziomu pracownicy logują się do:

  • systemów firmowych,
  • paneli administracyjnych,
  • aplikacji SaaS,
  • poczty,
  • CRM, ERP czy narzędzi billingowych,
  • zasobów dostępnych tylko wewnątrz organizacji.

Jeżeli taki VPN jest zainstalowany na firmowym komputerze, to operatorzy kampanii mogą:

  • podglądać loginy i sesje,
  • manipulować komunikacją z usługami,
  • podmieniać treści i formularze,
  • uzyskać dostęp do wewnętrznych aplikacji.

Dużo firm uważa, że ma bezpieczeństwo pod kontrolą, bo monitoruje endpointy, ma antywirus, zarządza aplikacjami i blokuje instalację programów. Tylko że rozszerzenia przeglądarki nie są traktowane jak normalne aplikacje. Bardzo rzadko są objęte politykami bezpieczeństwa, rzadko podlegają audytowi, a wielu pracowników ma pełną dowolność w ich instalowaniu. To jeden z najsłabszych punktów nowoczesnych środowisk SaaS.

Jeszcze inny problem to zdalna konfiguracja rozszerzenia. Firma może przejrzeć kod wtyczki i uznać, że wygląda w porządku. Tylko że to nie ma większego znaczenia, jeśli zachowanie wtyczki zmienia się dynamicznie, bo pobiera reguły z serwera atakującego. To sprawia, że zabezpieczenia oparte na klasycznym skanowaniu kodu są nieskuteczne.

Co możemy z tym zrobić?

Wnioski z badania LayerX są dość jednoznaczne. Po pierwsze – darmowy VPN instalowany jako rozszerzenie przeglądarki to coś, czego lepiej unikać. Utrzymanie infrastruktury VPN kosztuje, więc jeśli ktoś daje ją „za darmo”, to znaczy, że musi zarobić w inny sposób. I bardzo często tym sposobem są dane.

Po drugie – poleganie na opisie w Chrome Web Store jest złudne. Sklepy z aplikacjami nie są w stanie w pełni zweryfikować zachowania rozszerzenia po instalacji. Użytkownik powinien patrzeć przede wszystkim na uprawnienia. Jeśli wtyczka VPN prosi o dostęp do proxy, ruchu, przechwytywania zapytań i manipulacji ruchem, to trzeba mieć świadomość, że technicznie dajemy jej pełną kontrolę nad przeglądarką.

Po trzecie, dobrym nawykiem jest regularny przegląd rozszerzeń. Raz na jakiś czas warto wejść w listę dodatków i usunąć to, czego nie kojarzymy. Tak prosta czynność potrafi uciąć wiele zagrożeń, które siedzą w tle.

Jeśli chodzi o firmy, to tu sprawa jest poważniejsza. Organizacje muszą mieć polityki dotyczące rozszerzeń. Przeglądarka to dziś główne narzędzie pracy i jest tak samo ważna jak system operacyjny. Skoro kontrolujemy instalacje aplikacji, powinniśmy kontrolować również dodatki. Bez tego zostawiamy otwarte drzwi do najważniejszych systemów wewnętrznych.

Źródła
Tags:

Komentarze

Nie ma jeszcze komentarzy. Może zaczniesz dyskusję?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *