Google et Microsoft suppriment l'extension ModHeader en raison d'un code de suivi caché

Les deux principales entreprises technologiques ont agi rapidement pour assurer la sécurité des internautes en supprimant un outil Web populaire de leurs magasins respectifs. Cet utilitaire a aidé plus d'un million de développeurs Web dans le passé en simplifiant leurs requêtes Web quotidiennes.

Cependant, certains experts en sécurité ont découvert le programme de surveillance caché dans le code de l'utilitaire. Sa simple existence créait un risque sérieux pour la vie privée des utilisateurs, même sans opération.

En conséquence, les deux développeurs des principales plateformes en ligne, Google et Microsoft, ont retiré l'application pour éviter toute activité de surveillance. Cet événement démontre que même des programmes fiables et bien connus peuvent contenir un grand danger.

Le logiciel d'assistance interdit opérait sous la marque commerciale ModHeader. Pendant des années, les créateurs de sites Web ont utilisé cette extension pour modifier les étiquettes de données cachées que les navigateurs envoient aux sites Web. En conséquence, l’outil a gagné un énorme public fidèle dans la communauté des programmeurs.

Selon les enregistrements de suivi, il existe environ 1,6 million d'installations actives de l'application sur diverses plates-formes. Alors que plus de 900 000 installations se font uniquement sur Google Chrome, environ 700 000 utilisateurs l'ont opté pour le navigateur Microsoft Edge.

Pour protéger ces utilisateurs, Microsoft a supprimé la version Edge le 3 juillet. De même, Google a retiré le listing Chrome le 10 juillet. Un groupe spécialisé dans la sécurité informatique nomméStripe OLT découvertla menace cachée après avoir vérifié les fichiers de la boutique officielle.

De plus, leur analyse a prouvé que le code malveillant existait dans la version authentique et vérifiée du logiciel. La sécurité du navigateur est une préoccupation récurrente.Microsoft a mis en garde contre une faille Edge de haute gravitépermettant l'exécution de code à distance. Ainsi, la mise à jour dangereuse ne provenait pas d’une fausse copie.

Une fois actif sur une machine, le programme crée silencieusement une empreinte numérique unique de l'ordinateur. Ensuite, il surveille chaque page Web ouverte par l’utilisateur.

L'outil crypte ensuite ces noms de sites Web et les enregistre localement sur le disque dur. Heureusement, le pipeline de suivi intégré est resté inactif car sa liste de cibles interne était complètement vide.

Néanmoins, une petite mise à jour logicielle aurait pu activer le système instantanément sans aucune approbation de l'utilisateur. Le Google Chrome Web Store officiel hébergeait auparavant le programme en tant qu'utilitaire vérifié et hautement fiable. Cette vérification montre que les badges standards des magasins ne peuvent pas toujours garantir une sécurité continue.

Comment le traqueur secret a contourné les scanners de sécurité automatiques et a dissimulé son véritable objectif

Les créateurs du code de suivi ont utilisé des méthodes ingénieuses pour le cacher aux scanners de sécurité automatisés. Une méthode consistait à masquer fortement les scripts d’arrière-plan afin que le système apparaisse presque comme un logiciel normal et sophistiqué.

De plus, puisque le code avait désactivé la ligne de suivi principale. Ainsi, l’environnement de test virtuel n’a pu rien suivre concernant le code. En outre, les systèmes de protection automatisés ont classé le programme comme extrêmement sûr, et certains contrôleurs de sécurité ont même attribué au système une note de sécurité de 95 sur 100.

Habituellement, le logiciel envoie ses rapports quotidiens à un domaine Web nommé stanfordstudies[.]com. Bien que l’adresse semble officielle, elle n’a absolument aucun lien avec l’Université de Stanford. Au lieu de cela, il fonctionnait comme une page de couverture réutilisée liée à un serveur générique.

Les chercheurs ont suivi ces serveurs de destination et ont trouvé plusieurs signaux faibles pointant vers un opérateur parlant chinois. Cependant, ils n’ont officiellement nommé aucun groupe de piratage spécifique.

Pour sécuriser votre organisation, la Cybersecurity and Infrastructure Security Agency émet des alertes sur la manière dont les entités peuvent se protéger contre les extensions de navigateur compromises. Ces alertes témoignent d'une tendance croissante selon laquelle les pirates informatiques exploitent les outils de développement back-end pour contourner les défenses traditionnelles des réseaux d'entreprise.

En outre, le logiciel a été critiqué dans le passé pour avoir inséré des publicités indésirables dans les résultats de recherche il y a trois ans, c'est à cette époque qu'il est devenu un produit basé sur la publicité.

Néanmoins, la page Web officielle indique que le produit ne collecte aucune donnée privée sur ses utilisateurs. Cette fausse publicité contredit directement la découverte du code caché de collecte d’histoire.

Si cette extension est actuellement installée, vous devez la supprimer immédiatement de votre navigateur ; cela supprimera les fichiers de suivi stockés sur votre disque dur.

Aussi, il est essentiel de vérifier les préférences du navigateur et de s’assurer que la synchronisation automatique ne réinstalle pas cette extension. Étant donné que l'extension peut stocker l'intégralité du trafic réseau, vous devez également modifier tous les mots de passe saisis lors de son utilisation.

Plus précisément, cela inclut les codes de clé secrète, les jetons de session Web et les cookies de sécurité. Pour les administrateurs réseau, bloquer les domaines suspects au niveau du routeur central est une bonne recommandation.

Vous devez également rechercher dans vos journaux réseau toute connexion aux adresses Web malveillantes. Les experts en sécurité de Stripe OLT ont partagé des scripts de recherche spécialisés pour aider les entreprises à traquer cette menace.

Un bon niveau de prudence concernant les modules complémentaires du navigateur reste votre meilleur bouclier contre le vol numérique moderne. Ce cas prouve que même les outils les plus populaires nécessitent des contrôles de sécurité manuels réguliers. Par-dessus tout, une grande vigilance est vitale pour la sécurité sur Internet.