Яндекс.Браузер отказался от SaveFrom.net и некоторых других популярных расширений
Яндекс не сразу вычислил неправомерные замаскированные действия зловредных расширений. Сначала всё началось с того, что пользователи Яндекс.Браузера научили жаловаться на воспроизводимые в приложении звуки, похожие на аудиорекламу, хотя в самом веб-обозревателе никакое видео в такие моменты не проигрывалось. Разбираясь с этим вопросом, разработчики запросили у пользователей дополнительную информацию, включая список установленных расширений. Выяснилось, что их всех объединяло установленное дополнение SaveFrom.net — сотрудники Яндекс связались с разработчиками данной веб-утилиты с уведомлением об этом казусе, на что те заявили, что неполадка крылась в ошибке конвертера, и вскоре внесли исправления — жалобы пользователей на фоновый звук прекратились.
Позднее, в ноябре 2020 года, команда антифрода Яндекса получила сведения, что пользователей популярных браузеров используют для накрутки просмотров роликов в различных онлайн-кинотеатрах. Тогда-то компания и вспомнила ситуацию с SaveFrom.net и начала расследование совместно со Службой информационной безопасности. В итоге выяснилось, что расширение SaveFrom.net, а также Frigate Light, Frigate CDN и некоторые другие воспроизводят различные ролики с видеохостингов на компьютерах пользователей, причём незаметно: в фоном режиме и (после обращения Яндекса) без звука. Такие действия браузерных дополнений нагружают устройства и чрезмерно расходуют интернет-трафик.
Расследование Яндекса показало, что зловредные расширения проявляли свою скрытую активность независимо от того, из какого источника они были загружены, — хоть с официального сайта, хоть с каталога Chrome Web Store (Яндекс.Браузер поддерживает установку расширений из этого магазина).
Яндекс расценил работу SaveFrom.net, Frigate Light, Frigate CDN и некоторых других расширений (всего их более 20) потенциально опасной и недобросовестной, в связи с чем компания отключила уже установленные копии этих веб-утилит в браузере своих пользователей — люди получат соответствующее уведомление. Впрочем, при желании эти дополнения можно будет включить повторно.
Яндекс уже передал сведения в «Лабораторию Касперского» и в Google — разработчики антивируса подтвердили информацию и внесли в свой чёрный список вышеописанные зловредные расширения, связанные с ними адреса URL и фрагменты их скриптов.
Обновлено: помимо прочего, Яндекс и «Лаборатория Касперского» обнаружили в исходном коде функционал, который может использоваться для перехвата oAuth-токенов социальной сети «ВКонтакте». Помимо этого, выяснилось, что расширения даже без обновления могут динамически загружать и выполнять произвольный код.