<div id="post_message_802734">

Расширения для Chrome, Firefox и Edge, установленные почти миллион раз, обходят защиту и превращают браузеры в скраперы, которые собирают информацию с сайтов для коммерческих клиентов.<br/>
<br/>
По данным аналитиков компании <a href="https://secureannex.com/blog/mellow-drama/" target="_blank">SecurityAnnex</a>, 245 вредоносных расширений суммарно насчитывают около 909 000 загрузок. Все они предназначены для разных целей, включая управление закладками и буфером обмена, увеличение громкости и генератор случайных чисел. Но их объединяет использование опенсорсной библиотеки <a href="https://github.com/mellowtel-inc/mellowtel-js" target="_blank">MellowTel-js</a>, которая позволяет разработчикам монетизировать свои расширения.<br/>
<br/>
Исследователи рассказывают, что монетизация строится на использовании расширений для скрапинга сайтов в пользу коммерческих клиентов. В их число, по словам основателя MellowTel Арсиана Али (Arsian Ali), входят ИИ-стартапы.<br/>
<br/>
Аналитики SecurityAnnex пришли к этому выводу, обнаружив тесные связи между MellowTel и компанией <a href="https://www.olostep.com/" target="_blank">Olostep</a>, которая позиционирует себя как «самый надежный и экономически эффективный API для скрапинга в мире».<br/>
<br/>
Olostep утверждает, что ее боты «избегают обнаружения и могут параллельно обрабатывать до 100 000 запросов за несколько минут». Так, клиенты компании платят деньги, указывают местоположение браузеров, через которые они хотят получить доступ к определенным веб-страницам, а Olostep использует свою базу установленных расширений для выполнения запроса.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«У нас есть основания полагать, что запросы на скраппинг от Olostep распределяются между всеми активными расширениями, в которых используется библиотека MellowTel», — говорят эксперты.</font>
</td>
</tr>
</table>
</div>Создатель MellowTel, в свою очередь, <a href="https://github.com/PlasmoHQ/docs/pull/137#issuecomment-2448769654" target="_blank">утверждает</a>, что его библиотека предназначена для «совместного использования интернет-соединений [пользователей] (без вставки партнерских ссылок, несвязанной рекламы или необходимости сбора персональных данных)». Также он заявляет, что «основная причина, по которой компании платят за трафик, — это надежный и экономически эффективный доступ к общедоступным данным с сайтов». По словам разработчика, авторы расширений получают 55% дохода, а MellowTel — все остальное.<br/>
<br/>
Однако в SecurityAnnex предупреждают, что расширения, в которых используется MellowTel, представляют опасность для пользователей. Одна из причин этого заключается в том, что MellowTel заставляет расширения активировать веб-сокет, который подключается к серверу AWS, собирающему информацию о местоположении, доступной пропускной способности, активности и состоянии пользователей расширений.<br/>
<br/>
Помимо нарушения конфиденциальности, веб-сокет также внедряет в просматриваемые страницы скрытый iframe, который подключается к сайтам из списка, полученного с сервера AWS. И пользователи никак не могут «увидеть», какие сайты открываются в скрытом iframe.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Но разве для предотвращения такого не должны существовать какие-то средства защиты? Как можно настолько легко загрузить нежелательный контент на любой сайт? Что ж, в большинстве случаев защита действительно существует, — объясняют исследователи. — Обычные защитные заголовки, вроде Content-Security-Policy и X-Frame-Options, должны предотвращать подобное поведение. Но помните, как библиотека просила добавить в манифест declarativeNetRequest и access, если их там еще не было? Эти разрешения позволяют изменять веб-запросы и ответы в процессе выполнения. Библиотека динамически меняет правила, которые удаляют заголовки безопасности из ответов веб-сервера, а затем якобы добавляет их обратно после загрузки веб-страниц.<br/>
<br/>
Такое ослабление всего процесса браузинга может подвергать пользователей риску атак типа межсайтового скриптинга, которые предотвращаются в нормальных обстоятельствах. То есть ваши пользователи не только непреднамеренно становятся ботами, но и сами уязвимы при просмотре веб-страниц».</font>
</td>
</tr>
</table>
</div><img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/07/536531/mellowtel-6-2048x1268.jpg"/><br/>
<br/>
Также специалисты отмечают, что проблема MellowTel заключается еще и в том, что сайты, которые открывает библиотека, скрыты от конечных пользователей. Фактически людям приходится доверять MellowTel в вопросах проверки безопасности и надежности каждого открываемого ресурса.<br/>
<br/>
Кроме того, MellowTel представляет опасность для корпоративных сетей, где типы кода, разрешенного пользователям, строго ограничены, равно как и сайты, которые они посещают.<br/>
<br/>
В настоящее время статус расширений, использующих MellowTel, таков:<br/>
<ul><li>12 из 45 обнаруженных расширений для Chrome уже неактивны. Некоторые из них были удалены по причине обнаружения вредоносного ПО, а в других случаях разработчики сами отказались от использования библиотеки;</li>
</ul><ul><li>только 8 из 129 расширений Edge были отключены;</li>
</ul><ul><li>из 71 опасного расширения для Firefox деактивированы всего 2.</li>
</ul>Полный список расширений можно найти <a href="https://docs.google.com/spreadsheets/d/e/2PACX-1vT1XgBs25gRlg5e3nYCAff967WMtZZTO-TB3rR9zszaJpTpCVFg8j7FkBxnHb3tw3aHGjKBGSxYyLgV/pubhtml" target="_blank">здесь</a>.<br/>
<br/>
После обвинений со стороны исследователей и многочисленных сообщений в СМИ, создатель MellowTel Арсиан Али опубликовал <a href="https://www.mellowtel.com/blog/responding-to-ars-technica-and-mellow-drama-article" target="_blank">развернутый ответ</a>, в котором утверждает, что лишь пытается «создать опенсорсную альтернативу рекламным механизмам, а также движок для монетизации в мире ИИ».<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Вместо сбора данных пользователей, отслеживающих их по всему интернету, и бесконечных показов рекламы, мы создаем систему монетизации для разработчиков, основанную на совместном использовании интернет-соединения и ресурсов. Пользователи, которые хотят поддержать свободное ПО или его авторов, могут добровольно согласиться делиться своим своим подключением. Это предоставляет доступ к вебу ИИ-компаниям, которым нужно скрапить данные с общедоступных сайтов (вроде ChatGPT search, deep research или Perplexity, которые получают информацию из интернета по каждому запросу). Эти компании платят за доступ к сайтам, а мы делимся доходом с разработчиками, чьи пользователи решили их поддержать. Разработчики могут использовать эти деньги, чтобы предоставить пользователям дополнительные функции и контент, или просто сохранить продукт бесплатным и доступным. Мы считаем, что сейчас подходящее время для создания новой модели монетизации, которая позволит ПО оставаться бесплатным, а авторам — продолжать творить», — заявляет Али.</font>
</td>
</tr>
</table>
</div><a href="https://xakep.ru/2025/07/11/mellowtel/" target="_blank">@ xakep.ru</a>
</div>