-
09/04/2020
-
141
-
1.980 bài viết
152 tiện ích Chrome bí mật thu thập dữ liệu và giả mạo lưu lượng từ Google Search
Đằng sau những tiện ích hình nền động tưởng như vô hại trên Chrome là một hệ thống được thiết kế để thu thập dữ liệu và "bơm" lưu lượng truy cập giả cho các website quảng cáo. Chiến dịch gồm 152 tiện ích mở rộng đã hoạt động dưới nhiều tài khoản phát triển khác nhau và ghi nhận khoảng 105.000 lượt cài đặt.
Các chuyên gia từ Socket vừa công bố kết quả phân tích về một chiến dịch quy mô lớn trên Chrome Web Store, liên quan đến 152 tiện ích mở rộng Chrome được quảng bá dưới dạng hình nền động (live wallpaper). Dù được giới thiệu là công cụ cá nhân hóa trình duyệt, các tiện ích này lại ghi nhận dữ liệu người dùng và thao túng hệ thống đo lường truy cập nhằm tạo doanh thu quảng cáo.
Theo báo cáo, toàn bộ mạng lưới được xây dựng từ cùng một bộ mã nguồn nhưng được phát hành thông qua 38 tài khoản nhà phát triển khác nhau dưới các thương hiệu như tabplugins.com, yowgames.com và chromewallpaper.com. Các tiện ích thường sử dụng những chủ đề phổ biến như anime, bóng đá, trò chơi điện tử hay ô tô để thu hút người dùng cài đặt. Tổng số lượt cài đặt được ghi nhận khoảng 105.000, dù con số thực tế có thể cao hơn do cơ chế thống kê của Chrome Web Store.
Trên Chrome Web Store, các tiện ích này đều khai báo không thu thập, chia sẻ hoặc bán dữ liệu người dùng. Tuy nhiên, nội dung trong chính sách quyền riêng tư lại cho thấy chúng ghi nhận nhiều thông tin như địa chỉ IP, nhà cung cấp dịch vụ Internet (ISP), loại trình duyệt, thời gian truy cập, số lần nhấp chuột và thông tin thiết bị. Dữ liệu sau đó được chia sẻ với các nền tảng quảng cáo và phân tích như Google AdSense, DoubleClick và Google Analytics.
Thông tin sai lệch về quyền riêng tư (Nguồn: Socket)
Socket xác định 54 tiện ích trong mạng lưới sử dụng một cơ chế đặc biệt nhằm giả mạo lưu lượng truy cập đến từ Google Search. Ngay sau khi được cài đặt, service worker của tiện ích sẽ tự động mở một trang web do nhà điều hành kiểm soát với tham số "utm_source=google&utm_medium=organic". Điều này khiến các công cụ phân tích ghi nhận lượt truy cập như thể người dùng vừa truy cập từ kết quả tìm kiếm tự nhiên trên Google.
Khi tiện ích bị gỡ bỏ, một cơ chế khác tiếp tục được kích hoạt. Tiện ích gửi yêu cầu tới một URL có cấu trúc gần như trùng khớp với liên kết chuyển hướng của Google Search, khiến các hệ thống đo lường khó phân biệt đâu là lưu lượng truy cập thật và đâu là lưu lượng được tạo ra một cách nhân tạo. Mục tiêu cuối cùng là biến hàng chục nghìn người dùng Chrome thành nguồn tạo lưu lượng truy cập cho các website do nhóm vận hành kiểm soát. Càng nhiều lượt cài đặt, mở hoặc gỡ bỏ tiện ích, các website này càng thu về nhiều "lượt truy cập Google" trên báo cáo phân tích, qua đó nâng cao giá trị quảng cáo và tạo thêm nguồn doanh thu từ hệ sinh thái tiếp thị trực tuyến.
Khi tiện ích bị gỡ bỏ, một cơ chế khác tiếp tục được kích hoạt. Tiện ích gửi yêu cầu tới một URL có cấu trúc gần như trùng khớp với liên kết chuyển hướng của Google Search, khiến các hệ thống đo lường khó phân biệt đâu là lưu lượng truy cập thật và đâu là lưu lượng được tạo ra một cách nhân tạo. Mục tiêu cuối cùng là biến hàng chục nghìn người dùng Chrome thành nguồn tạo lưu lượng truy cập cho các website do nhóm vận hành kiểm soát. Càng nhiều lượt cài đặt, mở hoặc gỡ bỏ tiện ích, các website này càng thu về nhiều "lượt truy cập Google" trên báo cáo phân tích, qua đó nâng cao giá trị quảng cáo và tạo thêm nguồn doanh thu từ hệ sinh thái tiếp thị trực tuyến.
Chính sách quyền riêng tư của các tiện ích thừa nhận việc thu thập địa chỉ IP, thông tin nhà cung cấp dịch vụ Internet (ISP) và dữ liệu lượt nhấp chuột để phục vụ các nền tảng quảng cáo của Google, trái ngược hoàn toàn với cam kết "không thu thập dữ liệu người dùng" trên Chrome Web Store.
Socket cũng phát hiện các tiện ích được tích hợp cơ chế tự động xóa toàn bộ cơ sở dữ liệu IndexedDB mỗi khi service worker khởi động. Mặc dù phiên bản hiện tại chưa sử dụng IndexedDB để lưu dữ liệu, sự hiện diện của chức năng này cho thấy khả năng xóa bỏ dữ liệu nội bộ hoặc các dấu vết hoạt động đã được chuẩn bị sẵn trong mã nguồn, gây thêm khó khăn cho quá trình phân tích và giám sát.
Các dấu vết hạ tầng cho thấy đây là một chiến dịch mang động cơ tài chính rõ ràng. Những website đứng sau mạng lưới tiện ích được tích hợp với nhiều nền tảng quảng cáo lớn như Google Ad Manager, Xandr/AppNexus, PixFuture và SmileWanted. Một số trang còn sử dụng công nghệ đấu giá quảng cáo theo thời gian thực (header bidding), cho phép bán cùng một lượt hiển thị quảng cáo cho nhiều nhà quảng cáo cạnh tranh nhằm tối đa hóa doanh thu.
Dù không chứa mã độc hay trực tiếp chiếm quyền điều khiển thiết bị, chiến dịch cho thấy các tiện ích mở rộng trên trình duyệt vẫn có thể trở thành công cụ thu thập dữ liệu và thao túng lưu lượng truy cập nếu không được kiểm soát chặt chẽ. Với hơn 100.000 lượt cài đặt được ghi nhận, vụ việc tiếp tục gióng lên hồi chuông cảnh báo về những rủi ro tiềm ẩn từ các tiện ích tưởng chừng vô hại trên Chrome Web Store. Các tổ chức cần đưa việc kiểm kê, đánh giá và giám sát extension trình duyệt vào quy trình quản trị an toàn thông tin, đặc biệt đối với những tiện ích được cài đặt rộng rãi trên hệ thống nội bộ nhưng có nguồn gốc hoặc mục đích hoạt động thiếu minh bạch.
Các dấu vết hạ tầng cho thấy đây là một chiến dịch mang động cơ tài chính rõ ràng. Những website đứng sau mạng lưới tiện ích được tích hợp với nhiều nền tảng quảng cáo lớn như Google Ad Manager, Xandr/AppNexus, PixFuture và SmileWanted. Một số trang còn sử dụng công nghệ đấu giá quảng cáo theo thời gian thực (header bidding), cho phép bán cùng một lượt hiển thị quảng cáo cho nhiều nhà quảng cáo cạnh tranh nhằm tối đa hóa doanh thu.
Dù không chứa mã độc hay trực tiếp chiếm quyền điều khiển thiết bị, chiến dịch cho thấy các tiện ích mở rộng trên trình duyệt vẫn có thể trở thành công cụ thu thập dữ liệu và thao túng lưu lượng truy cập nếu không được kiểm soát chặt chẽ. Với hơn 100.000 lượt cài đặt được ghi nhận, vụ việc tiếp tục gióng lên hồi chuông cảnh báo về những rủi ro tiềm ẩn từ các tiện ích tưởng chừng vô hại trên Chrome Web Store. Các tổ chức cần đưa việc kiểm kê, đánh giá và giám sát extension trình duyệt vào quy trình quản trị an toàn thông tin, đặc biệt đối với những tiện ích được cài đặt rộng rãi trên hệ thống nội bộ nhưng có nguồn gốc hoặc mục đích hoạt động thiếu minh bạch.