Ratusan Ekstensi Chrome Kedapatan Curi Data Pengguna

Ratusan Ekstensi Chrome Kedapatan Curi Data Pengguna – Pengguna peramban Google Chrome diimbau untuk lebih selektif dalam memasang hiasan visual pada lembar tab baru mereka.

Tim riset keamanan siber baru saja membongkar operasi penipuan trafik berskala besar yang melibatkan 152 ekstensi bertenaga live wallpaper di platform resmi Chrome Web Store.

Meskipun dalam kolom praktik privasinya puluhan ekstensi ini berjanji sama sekali tidak memungut data pengguna, di balik layar mereka kedapatan secara senyap merekam data aktivitas berselancar.

Tidak hanya itu, ratusan ekstensi ini juga memanipulasi sistem dengan memalsukan trafik kunjungan seolah-olah bersumber dari pencarian organik (organic search) Google guna menggelembungkan pendapatan iklan (ad revenue) secara ilegal.

Operasi siber yang masuk dalam kategori adware ini menyalahgunakan fungsi ekstensi tab baru (new-tab extensions). Tujuannya adalah mencuci rentetan kunjungan otomatis yang dihasilkan oleh mesin ekstensi agar terlihat sebagai trafik pencarian manusia yang sah.

Praktik ini tidak hanya mengorbankan privasi pengguna, tetapi juga merusak akurasi data analitik milik pengiklan maupun pihak Google sendiri.

Satu Source Code 38 Akun Penerbit

Hasil investigasi mendalam mengungkap bahwa jaringan penipuan terorganisasi ini dibangun menggunakan satu basis kode (codebase) yang sama.

Guna menghindari deteksi massal dari sistem keamanan Google, peretas menyebarkan 152 ekstensi tersebut ke dalam 38 akun penerbit (publisher accounts) berbeda yang beralih payung di bawah tiga merek utama, yaitu:

• tabplugins[.]com.
• yowgames[.]com.
• chromewallpaper[.]com

(yang secara otomatis mengalihkan pengguna ke situs owhit[.]com).

Untuk menjaring korban dalam skala masif, peretas memanfaatkan berbagai tema visual yang sangat populer di internet, seperti wallpaper bertema anime, permainan video (games), klub sepak bola, hingga mobil-mobil mewah.

Berdasarkan data di atas kertas, akumulasi dari seluruh instalasi ini secara kolektif melaporkan jangkauan sekitar 105.000 pengguna aktif.

Kendati demikian, angka ini dinilai sebagai batas estimasi terendah mengingat sistem pembulatan visual kuota unduhan yang diterapkan oleh pihak Chrome.

Kebohongan paling nyata terlihat pada kontradiksi dokumen di dalam toko aplikasi. Pada tab “Praktik Privasi” (Privacy practices) di Chrome Web Store, pengembang dengan percaya diri menyatakan bahwa aplikasi mereka bersih dari aktivitas pelacakan data.

Namun, jika pengguna menelusuri dokumen kebijakan privasi (privacy policy) yang tertaut, di sana tertulis jelas bahwa sistem mereka melakukan:

• Merekam alamat IP.
• Jenis peramban, penyedia layanan internet (ISP).
• Stempel waktu (timestamps).
• Halaman rujukan, hingga hitungan jumlah klik pengguna.

Data-data yang dipanen ini kemudian disetor dan dibagikan ke Google AdSense, DoubleClick, Google Analytics, serta mitra periklanan pihak ketiga lainnya.

Taktik Rekayasa Tautan 

Dari total 152 komponen yang dianalisis, terdapat 54 subset ekstensi yang dibangun di atas templat terbaru tabplugins yang bertindak jauh lebih agresif.

Mereka dibekali kemampuan khusus untuk memalsukan data atribusi pencarian organik Google melalui skema teknis yang rapi:

1. Manipulasi Saat Instalasi (Install).

Begitu ekstensi berhasil terpasang di peramban, modul pekerja latar belakang (background service worker) akan secara otomatis membuka jendela tab baru yang mengarah ke alamat tabplugins[.]com dengan menyuntikkan parameter pelacak utm_source=google&utm_medium=organic.

Parameter tiruan ini mengecoh sistem analitik untuk mencatat bahwa pengguna menemukan situs tersebut secara alami melalui hasil pencarian Google, padahal kenyataannya itu merupakan navigasi paksa oleh ekstensi.

2. Manipulasi Saat Penghapusan (Uninstall).

Taktik yang tidak kalah cerdik dilancarkan saat pengguna menyadari ada kejanggalan dan menghapus ekstensi tersebut.

Saat proses copot pemasangan dilakukan, ekstensi akan menembakkan perintah pengalihan URL terstruktur: [https://www.google.com/url](https://www.google.com/url)?…&url=[https://tabplugins.com/](https://tabplugins.com/)….

Baris perintah ini meniru persis format format dan token bertandatangan digital (signed tokens) yang biasa digunakan Google untuk mencatat klik asli manusia pada hasil pencarian.

Alhasil, sinyal pencopotan tersebut tidak dapat dibedakan oleh robot Google dari klik nyata seorang manusia.

Melalui rekayasa trafik buatan ini, operator ekstensi dapat menyajikan lalu lintas data yang dihasilkan mesin mereka sebagai kunjungan “pencarian organik” yang bernilai sangat tinggi bagi para pengiklan.

Langkah ini berhasil menggelembungkan popularitas serta reputasi kepercayaan situs web mereka di mata program afiliasi secara ilegal.

Struktur Produksi Massal yang Ceroboh

Selain pemalsuan trafik, setiap anggota keluarga ekstensi yang dianalisis juga menunjukkan perilaku anti-forensik terselubung yang tidak diungkapkan kepada pengguna.

Setiap kali skrip latar belakang (service worker) mulai berjalan, sistem akan melakukan pemindaian menyeluruh dan menghapus setiap basis data IndexedDB yang dapat diakses oleh asal (origin) ekstensi itu sendiri.

Pada versi bangunan (build) saat ini, ekstensi tersebut sebenarnya menyimpan seluruh konfigurasinya di dalam fitur localStorage dan tidak menggunakan IndexedDB.

Hal ini berarti proses penghapusan massal tersebut saat ini belum merusak data apa pun. Kendati demikian, pola ini bertindak sebagai sidik jari yang kuat.

Dan membuktikan adanya kemampuan bawaan di dalam ekstensi untuk menyetel ulang atau menghapus data telemetri pertahanan siber di masa mendatang secara senyap.

Pola teks log berupa Deleted IndexedDB database: navigasi paksa saat instalasi, serta pola perintah setUninstallURL yang seragam ini ditemukan di 141 skrip service worker yang berhasil ditarik dari 152 ID ekstensi total (di mana 11 di antaranya telah resmi diturunkan oleh Google).

Satu hal yang menggelitik, tim peneliti menemukan bahwa beberapa varian ekstensi menyertakan file bg.js dengan cacat sintaksis yang parah.

Cacat kode ini membuat logika latar belakang aplikasi sama sekali tidak dapat dieksekusi. Temuan ini mengindikasikan bahwa ratusan ekstensi ini diproduksi massal dengan tergesa-gesa demi mengejar kuantitas keuntungan iklan. Ironisnya, aplikasi cacat ini tetap berhasil lolos dari proses peninjauan ketat sistem Google.

Perlu digarisbawahi bahwa ekstensi ini tidak menyuntikkan iklan secara liar ke situs web pihak ketiga yang sedang dibuka pengguna.

Mereka murni mengarahkan pengguna ke domain milik operator sendiri yang telah dimonetisasi secara agresif menggunakan teknologi iklan programatik, seperti katalog ekstensi berbasis WordPress yang terintegrasi dengan tumpukan Prebid header-bidding dari Advergic (avads[.]live).

Aliran trafik palsu ini kemudian disalurkan untuk memeras dana dari berbagai bursa iklan terkemuka dunia, termasuk Google Ad Manager, Xandr/AppNexus, PixFuture, hingga SmileWanted.

Mitigasi dan Deteksi Sidik Jari

Bagi pengguna kasual, risiko utama dari kampanye penipuan ini adalah keterlibatan paksa perangkat mereka ke dalam skema pengukuran trafik palsu serta pelacakan telemetri tersembunyi, bukan kompromi fatal di tingkat kernel perangkat keras.

Namun, bagi pengiklan dan pengelola jaringan kantor, keberadaan ekstensi ini merusak integritas pengukuran data bisnis.

Guna mengamankan ekosistem jaringan dari paparan adware sejenis, tim keamanan TI disarankan untuk segera menegakkan langkah deteksi dan mitigasi mandiri berikut:

1. Lacak Sidik Jari Komponen MV3

Lakukan pemindaian massal di lingkungan peramban karyawan untuk mencari ekstensi berbasis Manifest V3 (MV3) yang memiliki karakteristik pekerja latar belakang yang:

• Mencatat log deleted IndexedDB database
• Menjalankan perulangan perintah indexedDB.databases().then(… deleteDatabase …)
• Serta otomatis membuka tab baru dengan parameter utm_source=google&utm_medium=organic saat pertama kali dipasang.

2. Blokir Akses Domain dan URL Wrapper

Konfigurasikan sistem filter DNS atau gerbang internet kantor (web gateway) untuk memblokir seluruh akses komunikasi yang menuju ke domain operator utama, seperti:

• tabplugins[.]com.
• yowgames[.]com.
• chromewallpaper[.]com.
• owhit[.]com.

Awasi pula jika ada lalu lintas data yang mengarah ke pembungkus URL [google.com/url](https://google.com/url) yang terhubung dengan domain-domain tersebut.

3. Terapkan Kebijakan Pembatasan Instalasi Ekstensi

Batasi kebebasan karyawan dalam memasang ekstensi Chrome secara mandiri di komputer operasional kantor.

Terapkan sistem daftar putih (whitelist) melalui kebijakan grup (Group Policy Object / GPO) sehingga hanya ekstensi yang telah divalidasi keamanannya oleh tim TI yang boleh terpasang di peramban kerja.

4. Budayakan Pemeriksaan Silang Kebijakan.

Edukasi pengguna agar tidak mudah tepercaya pada klaim sepihak spanduk “Bebas Koleksi Data” yang tertera di halaman depan toko aplikasi.

Latih pengguna untuk mencurigai jika ada aplikasi hiburan sederhana seperti pembuat wallpaper yang meminta izin akses jaringan terlalu luas atau memiliki dokumen kebijakan privasi internal yang kontradiktif.

Buruknya Ekosistem Peninjauan

Kasus eksploitasi 152 ekstensi live wallpaper ini menjadi tamparan keras bagi ekosistem peninjauan toko aplikasi digital digital.

Kemampuan peretas dalam memproduksi massal aplikasi cacat kode namun tetap sukses melewati sistem sensor Google menunjukkan bahwa perimeter pertahanan otomatis di internet masih memiliki celah kelalaian yang lebar.

Di era komersialisasi trafik digital saat ini, ketahanan privasi tidak lagi bisa digantungkan pada label jaminan keamanan di etalase toko peramban. Pengguna dan pelaku bisnis harus:</p>

• Meningkatkan skeptisisme digital mereka.
• Memperketat pengawasan terhadap aktivitas latar belakang aplikasi.
• Memperlakukan setiap ekstensi kosmetik pihak ketiga sebagai potensi jalur manipulasi data yang wajib diaudit secara berkala.

Sumber berita:

WeLiveSecurity