Браузеры почти 1 млн пользователей превратились в скрытых ботов для скрапинга

Почему ваши любимые расширения браузера могут быть ботами: честный разбор схемы MellowTel

Девятьсот девять тысяч браузеров. Двести сорок пять расширений. Одна скрытая сеть. Недавнее исследование показало, что ваши помощники — менеджеры закладок, регуляторы громкости, генераторы случайных чисел — на самом деле работают на чужих. Они тайно собирают данные, обходят защиту и превращают ваш компьютер в безликого бота. Звучит как конспирология? Нет, это реальность.

Как расширения становятся троянами

Разработчики добавляют в код легитимных дополнений библиотеку MellowTel-js. Она активирует невидимый iframe — фрейм, который загружает сторонние сайты без вашего ведома. Обычно браузеры блокируют такие атаки через Content-Security-Policy и X-Frame-Options. Но MellowTel использует разрешение declarativeNetRequest, чтобы временно отключать эти ограничения. В итоге расширение получает доступ к вашему IP, геолокации, скорости интернета и даже к корпоративным данным, если вы работаете в защищённой сети.

Как это работает: пользователь устанавливает расширение, даёт ему разрешение declarativeNetRequest, и скрипт незаметно подключается к серверу Amazon Web Services. Оттуда приходят команды: какие страницы скрапить. Всё происходит в фоне — вы даже не замечаете диких скачков трафика. Клиенты (например, маркетплейсы или трекеры) платят за доступ к публичной информации. Разработчики расширений получают 55 % дохода. Пользователи — ничего, кроме риска.

Невидимый iframe — это чёрный ящик. Вы не знаете, какие сайты открываются на вашем устройстве. Любой, кто заплатил MellowTel, может использовать ваш компьютер для атак на другие ресурсы. Доверять? Я бы не стал.

Личное наблюдение автора

Недавно я заметил, что многие вообще не смотрят на разрешения, которые запрашивают расширения. «Хочу громче звук — ставлю», — типичная логика. А потом удивляются странной рекламе или тормозам. Только посмотрите на список своих расширений: сколько из них имеют разрешение «читать и изменять данные на всех сайтах»? Если больше 3–4, вы — идеальная цель для MellowTel.

Сравнительная таблица: легитимное расширение vs заражённое

Микро-инструкция: как проверить свои расширения

• Первый шаг. Откройте chrome://extensions (или edge://extensions, about:addons для Firefox).
• Второй шаг. Для каждого расширения нажмите «Подробнее» и посмотрите разрешения. Если видите «читать и изменять данные на всех сайтах» и «управление сетевыми запросами» — это тревожный сигнал.
• Третий шаг. Отключите все расширения, которыми не пользовались больше месяца. Особенно те, что не обновлялись полгода.
• Четвёртый шаг. Установите хотя бы одно расширение для мониторинга фоновых активностей (например, uBlock Origin в режиме «наблюдение»). Оно покажет, какие запросы делают другие дополнения.
• Пятый шаг. Если заметили подозрительный трафик — удалите расширение немедленно. И не забудьте зайти в настройки браузера и очистить данные сайтов.

Что дальше?

Из 245 заражённых расширений 12 уже удалены из Chrome Web Store, 8 из Edge и 2 из Firefox. Некоторые разработчики добровольно убрали MellowTel из обновлений. Но полный список всё ещё доступен в открытом отчёте. Проблема в том, что подобные библиотеки не запрещены, а механизм declarativeNetRequest — легальный API для блокировки рекламы. Мошенники просто злоупотребляют им.

Моё мнение: если вы используете более 10–15 расширений, вы идёте к катастрофе. Чем меньше — тем безопаснее. Оставьте только то, без чего не можете жить: менеджер паролей, блокировщик рекламы (но не из сомнительных источников) и переводчик. Остальное — временные решения, которые лучше включать по требованию.

Не ждите, пока ваш браузер станет частью глобального ботнета. Проверьте свои расширения прямо сейчас. Это займёт 5 минут, но может спасти данные.