Расширение Chrome «Save Image as Type», используемое миллионами для сохранения изображений WebP как JPG или PNG, было удалено Google после того, как было идентифицировано как вредоносное ПО. Инструмент, запрашивавший широкие разрешения для доступа к данным браузера, содержал вредоносный код. Этот случай демонстрирует риск предоставления неограниченного доступа расширениям от третьих лиц.
Риск «cookie stuffing» и чрезмерных разрешений 🚨
Обнаруженная вредоносная техника — это «cookie stuffing», при которой расширение внедряло куки аффилиата без согласия для генерации мошеннических доходов. Имея разрешения для all_urls, оно могло читать и изменять данные на любом посещаемом сайте. Это превращает расширение в мастер-ключ, который может получить доступ к активным сессиям, формам и конфиденциальной информации в почте или онлайн-банке.
Твой конвертер изображений теперь работает аффилиатом 😒
Оказывается, пока ты старался конвертировать этот WebP в PNG, чтобы загрузить на форум, расширение имело подработку, о которой не заявляло. Без твоего ведома оно работало на заднем плане, жонглируя куки аффилиатов, чтобы получить дополнительную комиссию. Сервис конвертации изображений с нежелательной маркетинговой надбавкой. По крайней мере, оно было многофункциональным.