Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Татьяна Никитина 04 Февраля 2026 - 21:18

...

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий:

144.0.7559.97 (Stable)
145.0.7632.18 (Beta)
146.0.7647.4 (Dev)
146.0.7653.0 (Canary)

В Google подтвердили возможность подобной атаки по стороннему каналу, но заявили, что решить проблему нереально.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Яков Шпунт 04 Февраля 2026 - 13:31

Мошенничество Онлайн-мошенничество Соответствие законодательству РФ Домашние пользователи

Криминальный дуэт обокрал 16 детей через онлайн-игры

Сотрудники полиции задержали жителя Бийска и жительницу Москвы, которых подозревают в серии онлайн-мошенничеств. По данным МВД, фигуранты причастны как минимум к 16 эпизодам, а их жертвами становились пользователи онлайн-игр — в основном дети и подростки. Всего, как сообщила официальный представитель МВД России Ирина Волк, в полицию обратились 16 потерпевших.

О задержании подозреваемых по уголовному делу, возбужденному по ч. 3 ст. 158 Уголовного кодекса РФ («Кража»), Следственным управлением УВД на Московском метрополитене ГУ МВД России по Москве Волк сообщила в своем телеграм-канале.

По версии следствия, организатор преступной схемы предлагал пользователям различных онлайн-игр приобрести внутриигровую валюту и виртуальные предметы через чаты. В процессе общения он убеждал жертв продиктовать коды подтверждения, поступавшие на их телефоны.

Как правило, жертвами оказывались несовершеннолетние, использовавшие сим-карты, оформленные на родителей. Получив коды, злоумышленник от имени взрослых оформлял рассрочку на маркетплейсах и приобретал различные товары. Его сообщница забирала покупки, после чего они перепродавались, а вырученные средства делились между участниками схемы.

Оба подозреваемых были задержаны. У них изъяты средства связи, компьютерная техника, банковские карты и электронные носители информации. У московской фигурантки также обнаружили часть товара, который она не успела реализовать.

Согласно результатам опроса «Лаборатории Касперского», онлайн-игры остаются одной из наиболее привлекательных целей для злоумышленников. Помимо мошенничества с игровым имуществом, преступники нередко вынуждают игроков переходить по фишинговым ссылкам или устанавливать вредоносные приложения. Кроме того, в 2025 году появились случаи вовлечения пользователей игр в дропперство.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »