Аналитики компании AdGuard обнаружили подозрительную активность сразу нескольких расширений для браузеров Chrome и Firefox, а также ряда приложений для iOS и Android. Исследователи пришли к выводу, что нижеперечисленные инструменты шпионили за своими пользователями, и их общая аудитория составляла более 11 000 000 человек.

  • Block Site
    • приложение для Android (100 000+ установок)
    • расширение для Chrome (1440 000+ пользователей)
    • дополнение для Firefox(119 000+ пользователей)
  • AdblockPrime
    Блокировщик рекламы для iOS. Точное число пользователей неизвестно, так как приложение не распространяется через App Store.
  • Приложения Mobile health club
    • Speed BOOSTER, приложение Android (5 000 000+ установок)
    • Battery Saver, приложение для Android (1000 000+ установок)
    • AppLock | Privacy Protector, приложение для Android (500,000+ установок)
    • Clean Droid, приложение для Android (500 000+ установок)
  • Poper Blocker
    • расширение для Chrome (2 280 000+ пользователей)
    • дополнение для Firefox (50 000+ пользователей)
  • CrxMouse
    • расширение для Chrome (410 000+ пользователей)

Эксперты AdGuard объясняют, что все перечисленные инструменты собирали личную информацию о пользователях, тогда как в официальных версиях политики конфиденциальности содержались ложные заявления о том, что все собранные данные являются анонимными или неперсонализированными. Эксперты отмечают, что никаких прямых вредоносных действий расширения и приложения не предпринимали, но подчеркивают, что подобный сбор данных прямо противоречит правилам официальных каталогов расширений и приложений, а также GDPR .

К примеру, по данным исследователей, эти приложения и расширения нередко собирали полную историю браузера, даже не анонимизируя URL, что позволяло третьим сторонам с легкостью установить личность пользователей, узнать об их привычках и предпочтениях как в интернете, так и в реальной жизни. Так, расширение для браузера, которое должно было просто блокировать всплывающие окна и оверлеи, тщательно собирало информацию обо всех посещенных жертвой веб-страницах.

Аналитикам AdGuard  удалось выяснить, что за разработкой этих сомнительных продуктов стояла одна и та же компания — Big Star Labs. Забегая вперед, скажу, что связаться с представителями Big Star Labs пока не удалось ни исследователям AdGuard, ни журналистам, — все запросы остались без ответов.

«Big Star Labs хорошо скрывают [информацию] о связанных с ними приложениях и сайтах, — пишет основатель AdGuard, Андрей Мешков. — Во всех документах, содержащих название компании, оно представлено только в виде изображения (другими словами, нельзя просто погуглить их название), также они используют разные аккаунты в каталогах приложений, а информация о владельцах доменов недоступна публично».

Также Мешков отмечает, что privacy policy для всех продуктов странной компании тоже публикуется только в формате картинок, а не текста. Скорее всего, это делается, чтобы избежать индексирования поисковиками и усложнить работу ИБ-специалистов.

Кроме того, эксперты AdGuard пишут, что приложения Big Star Labs используют различные техники и тактики, которые обычно демонстрирует только малварь. К примеру, приложения для Android запрашивали разрешение на использование Accessibility service (как обычно делают банковские трояны), а приложение для iOS распространялось посредством MDM. Совсем недавно мы рассказывали о таргетированной шпионской кампании, эксплуатирующей этот же метод распространения.

Мешков сравнивает поведение обнаруженных продуктов с поведением расширения Stylish, которое совсем недавно было удалено из официальных каталогов Chrome и Mozilla, так как тоже шпионило за пользователями, фиксируя историю браузера. Более того, глава AdGuard подчеркивает, что совершенно неясно, какие данные в понимании Big Star Labs являются личными, а какие нет, и какой именно информацией о пользователях компания делится с третьими сторонами.

В настоящее время все перечисленные выше решения уже были  удалены из официальных каталогов Google и Mozilla. К сожалению, как было сказано выше, iOS приложение не представлено в App Store, поэтому представители Apple не могут что-либо с ним сделать.

8 комментариев

  1. Dao

    27.07.2018 at 01:12

    «В настоящее время все перечисленные выше решения уже были удалены из официальных каталогов Google и Mozilla.»
    Я почему за Google и Mozilla их работу делает AdGuard?!

  2. Novosedoff

    27.07.2018 at 10:41

    Вопрос в том, а следит ли сам Adguard за пользователями, установившими их расширения в свои браузеры? 🙂

  3. vurlm

    29.07.2018 at 21:54

    Нужно убрать вопросительный знак.

  4. agentsteel

    31.07.2018 at 02:59

    ставить pi-hole и не париться

  5. emeliyanov

    01.08.2018 at 06:57

    Офигеть, нужно быть очень наивным человеком или потребителем тяжелых наркотиков, чтобы на свой телефон поставить MDM-профиль для «избавления от баннеров». Там шагов пять с предупреждениями, что вы даете полный доступ к своему аппарату.

Оставить мнение