The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

16.01.2018 23:44  В четырёх популярных дополнениях к Chrome выявлен вредоносный код

Исследователи из компании ICEBRG выявили четыре дополнения к Google Chrome, в которых присутствовали вредоносные вставки, позволяющие выполнять в браузере произвольный код, загружаемый со сторонних сайтов. Аудитория одного из проблемных дополнений насчитывает 509 тысяч пользователей.

Компания ICEBRG была привлечена для разбора причин появления аномального трафика с рабочих станций одного из клиентов. В результате проведённого исследования было определено, что причиной данного трафика являются четыре дополнения, представленные в каталоге Chrome Web Store: Nyoogle - Custom Logo for Google (509 тысяч пользователей), Lite Bookmarks, Change HTTP Request Header (14 тысяч), и Stickies - Chrome's Post-it Notes (21 тысяча).

В дополнениях был прошит код для получения команд с внешнего сервера под видом обновления конфигурации. Фактически на машине пользователя мог быть выполнен любой JavaScript-код, но на практике была зафиксирована только активность, связанная с накруткой кликов на баннеры в рекламных сетях. Код передавался в закамуфлированном виде в составе отдаваемого внешним сервером JSON-блока с данными. Для обхода Content Security Policy (CSP) дополнениями запрашивались полномочия "unsafe-eval". После загрузки внешнего кода дополнение выполняло проверку на предмет запуска отладочных инструментов (chrome://inspect/ и chrome://net-internals/) и если они не обнаружены запускало код в контексте браузерного дополнения.

Для запутывания следов в одном из дополнений выполнение вредоносного кода осуществлялось при помощи модифицированной библиотеки jQuery, метод ajax() в которой был изменён для подмены MIME-типа с "text" на "script" в случае наличия в данных строки "\\\==". Выявленные экземпляры загружаемого вредоносного кода осуществляли создание туннеля к внешнему серверу при помощи WebSocket. Данный туннель использовался в качестве прокси для перенаправления трафика через компьютер пользователя, установившего вредоносное дополнение. Перенаправляемый трафик был связан с загрузкой различных рекламных служб, для которых был организован процесс совершения подставных кликов с системы пользователя.



  1. Главная ссылка к новости (https://www.icebrg.io/blog/mal...)
  2. OpenNews: Некоторым пользователям Firefox навязано непонятное дополнение Looking Glass
  3. OpenNews: В результате фишинга получен контроль ещё над 6 дополнениями к Chrome
  4. OpenNews: Злоумышленники получили контроль над Chrome-дополнением с миллионной аудиторией
  5. OpenNews: В браузерном дополнении Cisco WebEx выявлен URL, позволяющий выполнить код в системе
  6. OpenNews: Дополнение Web of Trust уличено в продаже сведений о посещениях пользователей
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: chrome, malware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, Аноним, 00:15, 17/01/2018 [ответить] [смотреть все]    [к модератору]
  • +43 +/
    Только в четырёх? Что-то они плохо искали.
     
     
  • 2.12, angra, 04:30, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +6 +/
    Ну так они и не делали анализ всех существующих дополнений вообще, а только тех, что были установлены у конкретного юзера.
     
  • 2.30, dtjty, 10:01, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +13 +/
    В четырех вредоносных приложениях обнаружен Chrome.
     
  • 1.2, А, 00:27, 17/01/2018 [ответить] [смотреть все]    [к модератору]
  • –11 +/
    После таких новостей перешёл на огнелис квантум и проблем не знаю.
     
     
  • 2.3, pike, 00:30, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • +15 +/
    я тоже думаю: лучше, когда родной браузер и по-тихому, нежели неизвестно кто, да ещё и слово-то какое подобрали "вредоносный" - нет бы как у людей: "экспериментальная фича"
     
  • 2.15, Аноним, 05:51, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +4 +/
    Как это решает вопрос с безопасностью плагинов?
     
     
  • 3.16, Grammar, 06:23, 17/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +6 +/
    В Firefox Quantum их значительно меньше)
     
     
  • 4.23, Роскомпозор, 08:47, 17/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    вообщем никак кроме инфантильной "веры"
     
     
  • 5.26, Анониммм, 09:22, 17/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Другого решения вопросов безопасности пока не придумали.
     
  • 5.50, Аноним, 12:49, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Вообще не знаю как сейчас, а до недавнего времени Mozilla проверяла параноидальн... весь текст скрыт [показать]
     
  • 2.21, ыы, 08:23, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Вы были одним из тех оригиналов установивших себе Custom Logo for Google ... весь текст скрыт [показать] [показать ветку]
     
  • 2.38, DmA, 11:10, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    Firefox -это явно не гарантия отсутствия проблем В сфере ИБ даже такие давно не... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.61, Аноним, 17:31, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    брёвен на сруб, парусину для мельницы, двустволку... весь текст скрыт [показать]
     
     
  • 4.63, iZEN, 18:06, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Ну зачем так категорично Взять книги по физике и математике Изучить, какие про... весь текст скрыт [показать]
     
     
  • 5.66, Аноним, 18:31, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    физика с математикой враждебны этой жизни, в мире, где пластик и нефтепродукты в... весь текст скрыт [показать]
     
     
  • 6.70, iZEN, 09:41, 18/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Вы считаете, горящие фитили на свечках и костры инквизиций помогут сделать нашу ... весь текст скрыт [показать]
     
     
  • 7.73, Аноним, 20:11, 18/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    догма всегда будет довлеть над якобы свободными умами, чистое сознание находится... весь текст скрыт [показать]
     
  • 2.43, DmA, 11:25, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Мне кажется ты просто не хочешь замечать проблемы ... весь текст скрыт [показать] [показать ветку]
     
  • 2.53, Аноним, 14:03, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Можно подумать, там что-то другое в каталоге дополнений Теперь ещё и портирован... весь текст скрыт [показать] [показать ветку]
     
  • 2.64, iZEN, 18:11, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Теперь ты под ещё более точным прицелом глаз хакеров ... весь текст скрыт [показать] [показать ветку]
     
  • 2.72, Аноним, 18:20, 18/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    А зря, там теперь тоже проверка не ахти и пока просто слишком мало написали, да ... весь текст скрыт [показать] [показать ветку]
     
  • 1.5, Antal Mykola, 00:49, 17/01/2018 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    В опасном мире мы живем
     
     
  • 2.65, iZEN, 18:16, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    И не говори Джунгли кругом И ты один как перст среди этого серо-бурого месива,... весь текст скрыт [показать] [показать ветку]
     
  • 1.7, хром, 00:59, 17/01/2018 [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    вывод ? не ставить никаких дополнений
     
     
  • 2.33, dontbelieveinghosts, 10:15, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –3 +/
    в лисе это не спасет, она сама поставит тебе все что захочет, а ты даже и знать ... весь текст скрыт [показать] [показать ветку]
     
  • 1.9, Аноним, 01:50, 17/01/2018 [ответить] [смотреть все]    [к модератору]  
  • +6 +/
    "Custom Logo for Google"
    Вот кому делать совсем уж нечего, это тем, кто установил это дополнение.
     
     
  • 2.13, angra, 04:38, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Да ты что А как же еще продемонстрировать свою яркость и индивидуальность Как ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, ryoken, 07:37, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    а нафейхоа чем меньше про тебя знают, тем лучше ... весь текст скрыт [показать]
     
  • 2.39, DmA, 11:11, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    точно, полмиллиона на Земле никчёмные бездельники ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.60, dq0s4y71, 16:18, 17/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    Подозреваю, что гораздо больше :)
     
  • 3.74, Michael Shigorin, 01:12, 19/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Ну и как Вы так могли про гуглоппозицию ... весь текст скрыт [показать]
     
  • 1.14, nexfwall, 04:43, 17/01/2018 [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    > После загрузки внешнего кода дополнение выполняло проверку на предмет запуска отладочных инструментов (chrome://inspect/ и chrome://net-internals/) и если они не обнаружены запускало код в контексте браузерного дополнения.

    Так это, может это плохо что расширение имеет возможность узнавать, запущено ли окно дебага или нет?

     
  • 1.17, Джокер, 07:11, 17/01/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    > В 4х популярных дополнениях к Chrome выявлен вредоносный код

    В мире всплакнул один маленький майор.

     
     
  • 2.57, Аноним, 14:40, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Потому, что только в 4-х?
     
  • 1.20, Аноним, 08:15, 17/01/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Открыл у себя список дополнений в Chrome и Firefox установлено по одному дополне... весь текст скрыт [показать]
     
     
  • 2.35, freehck, 10:58, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Окей, понимаю Но скажи, в чём принципиальное отличие вот этого от того, что... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.46, VEG, 11:57, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Mozilla в принципе может любой код выполнять во время обновления Некоторая стан... весь текст скрыт [показать]
     
     
  • 4.48, Crazy Alex, 12:43, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Нет Странно, что очень малая часть функциональности оформлена в виде расширений... весь текст скрыт [показать]
     
  • 4.54, Аноним, 14:06, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Вендопроблемы ... весь текст скрыт [показать]
     
  • 1.24, Аноним, 08:59, 17/01/2018 [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Срочно надо писать дополнение, которое делает вид, что эти штуки всегда открыты ... весь текст скрыт [показать]
     
  • 1.28, Анониммм, 09:24, 17/01/2018 [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Вроде бы отследить кто получает профит с этой рекламы совсем не сложно, но почему-то подобное продолжается. Как минимум, рекламодателям это должно быть оч интересно.
     
     
  • 2.56, гугль, 14:22, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    а чего следить-то - я получаю.
    И чо?
     
  • 1.29, Аноним, 09:48, 17/01/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Проблема конкретно в хромом или в концепции webextensions в целом?
     
     
  • 2.32, айтиспециалист, 10:13, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Проблема в компутерах
     
  • 1.36, VoDA, 11:02, 17/01/2018 [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    Мне одному кажется, что проблема в самой возможности загрузить внешние данные и запустить данные-как-код?
    Отпилить eval и тонна схожих дыр в безопасности будет закрыта.


    Подскажите, может ли "сферические приложение в вакууме" где принципиально разнесены данные и исполняемый код быть подвержено схожим проблемам?

     
     
  • 2.44, Crazy Alex, 11:50, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    да какая разница, что мешает засунуть свой интерпретатор скриптов юВсё равно, ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.45, VoDA, 11:54, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Что в Линукс репозиториях препятствует выполнению скрытых скриптов скачанных с с... весь текст скрыт [показать]
     
     
  • 4.49, Crazy Alex, 12:46, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Открытый исходный код, самостоятельная сборка из него и контроль маинтайнеров, в... весь текст скрыт [показать]
     
  • 4.68, iPony, 06:06, 18/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Смотря про что речь Если про десктоп, то принцип неуловимого Джо Если про серв... весь текст скрыт [показать]
     
  • 4.75, Michael Shigorin, 01:14, 19/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Например, сборка в чруте без сети ... весь текст скрыт [показать]
     
  • 1.40, Аноним, 11:13, 17/01/2018 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Не согласен Это не вредоносный код Он приносит пользу Правда, одному конкретн... весь текст скрыт [показать]
     
  • 1.47, Аноним, 12:07, 17/01/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Странно, что Google Project Zero ищет сомнительные дыры в Blender и Transmission... весь текст скрыт [показать]
     
     
  • 2.55, Аноним, 14:08, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Искать мусор на помойке скучно ... весь текст скрыт [показать] [показать ветку]
     
  • 1.51, DmA, 13:10, 17/01/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Браузер давно уже нужно написать без всякой операционной системы для отдельного компьютера, чтобы никаких кроме него файлов там в принципе не было! Тупизм конечно, но в свете последних событий нужно что-то в корне менять
     
     
  • 2.58, Garrick, 15:17, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –1 +/
    Так есть же уже - Chromium OS называется
     
  • 1.52, Аноним, 13:59, 17/01/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Я для банкинга в firefox создал профиль safe без плагинов запуск через firefox ... весь текст скрыт [показать]
     
     
  • 2.59, Аноним, 16:13, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    отдельного UNIX-пользователя создавать надо, а не профили в этих ваших броузерах... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.71, КО, 09:44, 18/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Да, что уж там - виртуалочку. :)
     
  • 2.62, Анонимаус, 18:03, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    google-chrome --user-data-dir=/tmp/temp-chrome-profile
     
  • 1.69, Аноним, 09:36, 18/01/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Давно ищу дополнение которое блокирует установку других дополнений Есть такое, ... весь текст скрыт [показать]
     
  • 1.76, Аноним, 00:56, 26/01/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Всего-то полмиллиона идиотов в интернетах, я думал минимум 90 ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor