사용자 브라우징 데이터를 수집하는 Chrome 확장 프로그램 287개 발견

1 month ago 14

자동화된 MITM(중간자 공격) 기반 스캐닝 파이프라인을 통해 287개의 Chrome 확장 프로그램이 사용자의 브라우징 기록을 외부로 전송하는 행위를 탐지
이들 확장 프로그램은 총 약 3,740만 회 설치되어 있으며, 이는 전 세계 Chrome 사용자 약 1%에 해당
데이터 유출 행위에는 Similarweb, Curly Doggo, Offidocs, Big Star Labs 등 주요 데이터 브로커와 다수의 소규모 업체가 연루
분석 결과, 일부 확장 프로그램은 ROT47, AES‑256, LZ‑string 등 암호화 기법을 사용해 URL 데이터를 은폐하며 전송
단순한 개인정보 침해를 넘어 기업 내부망·관리 콘솔 URL 노출 등 보안 리스크로 이어질 수 있는 심각한 위협임

자동화된 스캔 파이프라인 구축

연구팀은 Docker 환경의 Chrome 브라우저를 MITM 프록시로 감싸고, URL 길이에 따른 출력 트래픽 상관관계를 측정하는 자동화 시스템을 구축
- URL 길이에 비례해 전송량이 증가하면 해당 확장 프로그램이 URL을 외부로 전송하는 것으로 판단
스캔은 두 단계로 진행되었으며, 총 930 CPU일이 소요됨
- 1차로 4개 URL 길이를 테스트하고, 의심 비율(0.1 ≤ R < 1.0)이 감지되면 6개 추가 길이로 재검증

287개 확장 프로그램이 브라우징 기록을 외부 서버로 전송하는 것으로 확인
이들 확장 프로그램의 총 설치 수는 약 3,740만 회로, 전 세계 Chrome 사용자 약 1% 규모
유출된 데이터는 Similarweb, Curly Doggo, Offidocs, Big Star Labs 등으로 전달되며, 일부는 Kontera 스크레이퍼를 통해 재수집됨
Honeypot 서버를 운영해 실제 데이터 수집 IP를 추적한 결과, HashDit, Blocksi AI Web Filter, Kontera 등 5개 주요 IP 대역이 반복적으로 접근

OSINT 분석을 통해 각 확장 프로그램의 개발자 이메일, 개인정보처리방침, 인증서 정보 등을 조사
Similarweb의 “Similar Sites” 확장 프로그램이 Kontera 스크레이퍼 및 Curly Doggo, Offidocs와 연결되어 있음이 확인
Big Star Labs는 Similarweb과 동일한 코드 패턴을 공유하며, 동일 조직일 가능성이 높음

Poper Blocker: ROT47로 URL을 난독화해 api2.poperblocker.com으로 전송
Stylish: AES‑256과 RSA 공개키 암호화를 이용해 URL을 암호화 후 userstylesapi.com으로 전송
BlockSite 및 Video Ad Blocker Plus: LZ‑string UTF16 압축을 사용해 URL을 전송, 동일한 데이터 스키마 사용
Similarweb: rank.similarweb.com으로 다중 URL 인코딩된 브라우징 데이터 전송
WOT (Web of Trust) : XOR 기반 커스텀 인코딩으로 URL을 암호화, Similarweb과 동일한 구조
Smarty, CrxMouse, ApkOnline, Knowee AI, Super PiP 등도 각각 URL 파라미터, 헤더, Google Analytics API 등을 통해 데이터 전송

약 3,740만 명의 사용자, 즉 폴란드 인구 규모에 해당하는 사용자가 영향받음
일부 확장 프로그램은 기능상 브라우징 기록 접근이 필요할 수 있으나, 다수는 명시적 동의 없이 데이터 수집
유출된 데이터는 광고 타기팅, 기업 스파이 행위, 세션 탈취 등에 악용될 수 있음
- 특히 기업 환경에서 “생산성 향상” 확장 프로그램을 사용하는 직원의 내부 URL 노출 위험 존재