Een nieuwe onthulling van beveiligingsonderzoeker John Tuckner van SecurityAnnex heeft aan het licht gebracht dat bijna één miljoen browsers zijn omgevormd tot onzichtbare scraping-bots via schijnbaar onschuldige browserextensies. In totaal gaat het om 245 extensies, verspreid over Chrome, Firefox en Edge, die samen bijna 909.000 keer zijn gedownload.
Hoewel de extensies verschillende legitieme functies claimen, zoals het beheren van bladwijzers, clipboardtools, volumeboosters en willekeurige getallengeneratoren, blijken ze allemaal gebruik te maken van een open source JavaScript-bibliotheek genaamd MellowTel-js. Deze bibliotheek stelt ontwikkelaars in staat om hun extensies te monetizen, maar doet dat op een manier die volgens Tuckner ernstige privacy- en beveiligingsrisico’s met zich meebrengt.
Scraping-bots
Volgens Tuckner en andere critici wordt via MellowTel de browser misbruikt om websites te scrapen namens betalende klanten, waaronder adverteerders. Dit gebeurt via het bedrijf Olostep, dat zich profileert als een efficiënte web scraping-dienst. De tool activeert een websocketverbinding naar een Amazon-server, die locatie, bandbreedte en status van gebruikers doorstuurt. Intussen wordt een verborgen iframe geladen met websites die door Olostep worden aangedragen zonder dat gebruikers dit weten of kunnen controleren.
Zorgwekkend
Een zorgwekkend aspect is dat MellowTel actief bestaande beveiligingsheaders op websites verwijdert, zoals Content-Security-Policy en X-Frame-Options, om scraping mogelijk te maken. “Normaal beschermen deze headers tegen aanvallen zoals cross-site scripting”, aldus Tuckner. “Door ze te verwijderen worden gebruikers kwetsbaarder dan ze zich realiseren.”
Verzwakking browserbeveiliging
Hoewel MellowTel’s oprichter stelt dat de bibliotheek is bedoeld om op ethische wijze bandbreedte te delen zonder persoonlijke gegevens te verzamelen, noemt Tuckner het verzwakken van browserbeveiliging onacceptabel. Bovendien moeten gebruikers blind vertrouwen op de betrouwbaarheid van de websites die stilletjes via hun browser worden benaderd , wat een groot risico vormt, zeker binnen bedrijfsnetwerken. Deze ongecontroleerde scraping-bots ondermijnen niet alleen de privacy, maar ook de integriteit van beveiligde werkomgevingen.
Van de 45 bekende Chrome-extensies zijn er inmiddels twaalf inactief, sommige vanwege malwareclassificatie. Ook bij Edge en Firefox zijn meerdere verdachte extensies uitgeschakeld of aangepast.
Gevaren
Tuckners ontdekking doet denken aan het beruchte Nacho Analytics-schandaal uit 2019, waarbij gebruikersdata, variërend van privéfoto’s tot medische gegevens, massaal werden verzameld via extensies. De geschiedenis lijkt zich te herhalen: opnieuw zijn miljoenen nietsvermoedende gebruikers veranderd in digitale scraping-bots. Met alle gevaren van dien.