Better History : l’extension qui vous redirigeait secrètement vers des sites d’annonces
Il semble qu’il s’agissait d’un stratagème pour récupérer de l’argent. L’extension en question redirigeait le trafic HTTP de l’utilisateur vers un service proxy, avant de les orienter vers la destination voulue, en affichant une page supplémentaire avec des annonces au niveau de 50% de la session piratée.
Cette extension n’était pas seulement un moyen d’engranger de l’argent pour ses propriétaires, elle leur permettait également d’espionner le trafic des utilisateurs, de collecter les statistiques, qui pouvaient ensuite être vendue à des annonceurs en ligne.
Certains observateurs ont mis en lumière ce dysfonctionnement auprès de son véritable créateur sur GitHub durant le weekend.
Ce dernier a en fait répondu que Better History avait été vendue il y a quelques mois à présent, depuis la version 3.9.5.
Le propriétaire a déclaré à Reddit qu’il avait vendu son extension à une entreprise dénommée advault.net qui n’avait pourtant pas l’air bizarre :
Les choses ont commencé à mal tourné lorsque les utilisateurs ont été sollicités pour installer une mise à jour afin de passer de la version 3.9.7 à 3.9.8. C’est à ce moment que l’extension vous demande la permission de “lire et changer toutes vos données des sites web que vous visitez”.
A partir de sa version originelle, vendue jusqu’à maintenant, Better History a rajouté des filtres supplémentaires au niveau de l’historique des utilisateurs Chrome, afin de faciliter la recherche et l’accès aux pages consultées par le passé, comme montré dans la capture d’écran posté par Softpedia.
Les nouveaux propriétaires de Better History ont ajouté un script dénommé “common.js” qui installe une extension proxy, au niveau du navigateur de l’utilisateur qui redirige en réalité le trafic Chrome.
Jusqu’à maintenant il n’y avait aucune raison de s’inquiéter : advault.net avait arrêté de mettre à jour son extension au niveau du référentiel GitHub, ne donnant ainsi aucun signal d’un dérapage vers un code malveillant.
Un utilisateur Reddit, Scarazer, a écrit qu’il avait trouvé le même code malveillant qui avait infecté un certain nombre d’extensions Google Chrome, incluant Chrome Currency Converter, Web Timer, User-Agent Switcher, Better History, 4chan Plus, et Hide My Adblocker.
Depuis Mardi dernier la seule extension dans cette liste, qui a été retirée du web store de Google Chrome, était 4chan Plus. Google a aussi banni Better History après que des utilisateurs se soient regroupés afin rapporter massivement le dysfonctionnement.
Suivre @SophosFrance
Billet inspiré de “Chrome extension was secretly redirecting users to ad pages” par Lisa Vaas de Naked Security
Partagez “Better History : l’extension qui vous redirigeait secrètement vers des sites d’annonces” avec http://wp.me/p2YJS1-2Ct