Браузерное дополнение Hoverzoom уличено в поставке вредоносного кода

27 декабря 2013 года

В Hoverzoom, популярном дополнении к браузеру Chrome, включенном изданием PCMagаzine в список лучших дополнений к Chrome за 2013 год и занимавшим неплохие позиции в рейтинге Chrome Web Store, выявлено наличие вредоносной вставки, приводящей к утечке персональных данных на внешний сервер. В частности, при активации дополнения в контексте каждого сайта выполнялся специальный JavaScript-код, который приводил к накоплению информации об активности пользователя на сайте, в том числе собирал содержимое web-форм.

Примечательно, что автор дополнения опубликовал заявление, в котором опроверг вредоносный характер кода, указав на то, что скрипт не является вредоносным и не собирает персональные данные. По словам автора дополнения, вся накапливаемая статистика собирается в анонимном режиме в рамках проведения маркетингового исследования, ориентированного на сбор демографических данных. Скрипт был добавлен в выпуске Hover Zoom 4.27 в рамках партнёрской программы с одной из маркетинговых компаний. В версии Hover Zoom 4.28 данный скрипт был удалён.

Оппоненты не согласны с такой трактовкой и утверждают о возможности утечки паролей и номеров банковских карт в процессе работы данного скрипта. В частности, приводятся следующие факты:

• Hoverzoom без ведома пользователя подставляет скрипт на открываемые в браузере страницы;
• Hoverzoom подменяет некоторые ссылки на сервисы Amazon на всех открытых в браузере сайтах, подставляя в них собственный партнёрский идентификатор;
• Данные о посещениях отправляются на сторонние ресурсы webovernet.com и jsl.blankbase.com;
• Информация об ошибочных доменных именах отправляется на сторонний сайт advisormedia.cz (данная активность наблюдалась ещё с весны и объяснялась как сервис для уведомления владельцев о неиспользуемых доменных именах);
• Все схемы монетизации включены по умолчанию;
• В скрипте, поставляемом в выпущенной 17 декабря версии 4.27, все данные, вводимые в web-формах на сайтах, передавались на внешний ресурс qp.rhlp.co;
• В версии 4.28, выпущенной 18 декабря, скрипт был удалён из поставки.

В настоящее время дополнение Hoverzoom удалено (Архивная копия от 1 октября 2012 на Wayback Machine) из каталога Chrome Web Store по инициативе создателя программы (рейтинг дополнения был сведён на нет сотнями однозвёздочных оценок, а репутация подорвана обилием негативных отзывов). В качестве альтернативы дополнению Hoverzoom, которое позволяет при наведении мыши на картинку показать её полноразмерный вариант, без загрузки других страниц и открытия отдельных окон, рекомендуется использовать дополнение Imagus.