Xakep #305. Многошаговые SQL-инъекции
Из каталога Chrome Web Store было исключено расширение YouTube Queue, установленное более 7000 раз.
Дело в том, что несколько недель назад пользователи стали замечать, что поведение расширения изменилось. Ранее безобидное YouTube Queue начало перенаправлять поисковые запросы пользователей через Croowilla.Search и кастомный поисковик Information Vine. В итоге пользователи видели все ту же поисковую выдачу Google, только изрядно «разбавленную» рекламой и партнерскими ссылками.
Расширение удалили из каталога, когда на эту подозрительную активность обратил внимание разработчик Microsoft Edge и бывший инженер команды Google Chrome Эрик Лоуренс (Eric Lawrence). Исследователь привлек внимание к происходящему через свой Twitter.
Oh. pic.twitter.com/kbeJtXNUzZ
— Eric Lawrence ? (@ericlaw) June 18, 2019
Лоуренс выяснил, что подозрительный код появился только в расширении из Chrome Web Store, но не в официальном репозитории на GitHub. Журналисты издания The Register пошли еще дальше и сумели связаться с разработчиком YouTube Queue, который объяснил, что некоторое время назад продал свое расширение известной платформе веб-приложений Softools. Интересно, что представители Softools отрицают свое участие в разработке расширения и заявляют, что не имею никакого отношения к подозрительной функциональности, появившейся в его коде.
Однако эта ситуация интереса еще и тем, что Эрик Лоуренс считает, что YouTube Queue – идеальный пример того, по какой причине разработчики Google считают webRequest API потенциально опасным и планируют существенно ограничить его функциональность.
Напомню, что вокруг использования этого API уже давно ведутся жаркие споры, связанные с разрабатываемым Google Manifest V3. Дело в том, что блокировщики контента и другие расширения для Chrome могут пострадать из-за изменений, которые инженеры Google планируют внести в третью версию манифеста, который, по сути, определяет возможности и ограничения для расширений. Релиз Manifest V3 и соответствующих изменений в кодовой базе запланирован на январь 2020 года.
Суть проблемы заключается в том, что в Google намерены ограничить работу webRequest API, что может негативно сказаться на функционировании блокировщиков контента и не только. Вместо webRequest разработчикам будет предложено использовать declarativeNetRequest API, и по словам многих девелоперов, переход на другой API, сильно отличающийся от webRequest и во многом ему уступающий, в сущности, станет «смертью» их продуктов.
На прошлой неделе специалисты Google сообщили, что 42% всех вредоносных расширений, обнаруженных в Chrome Web Store с января 2018 года, тем или иным образом использовали webRequest API. И YouTube Queue – одно из таких расширений.
Стоит заметить, что на этой неделе инженер-разработчик Chrome Джастин Шах (Justin Schuh) еще раз объяснил официальную позицию Google и детально рассказал в своем Twitter о том, что ограничивая webRequest API, компания заботится и безопасности и приватности пользователей, а не пытается «убить блокировщики рекламы».
The Chrome position on this point has been very consistent. Yes, there are very real performance benefits for Declarative Net Request over Web Request, but the primary motivation has always been to improve security and privacy by scoping extensions to the access they need.
— Justin Schuh ? (@justinschuh) June 18, 2019