The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Chrome-дополнениях NanoAdblocker и NanoDefender выявлены вредоносные изменения

16.10.2020 09:08

Рэймонд Хилл (Raymond Hill), автор системы блокирования нежелательного контента uBlock Origin, обнаружил появление в опубликованных вчера выпусках Nano Defender 15.0.0.206 и Nano Adblocker 1.0.0.154 изменений, которые можно расценивать как вредоносные. Nano Adblocker является расширенным синхронизированным ответвлением от uBlock Origin, а Nano Defender добавляет дополнительную защиту от обнаружения Nano Adblocker и uBlock Origin. NanoDefender насчитывает 200 тысяч пользователей в Chrome App Store, а NanoAdblocker - 100 тысяч.

До этого автор указанных дополнений предупредил о том, что он больше не контролирует разработку и проект передан новой команде. Из-за нехватки времени на продолжение разработки в прежнем темпе автор дополнений NanoAdblocker и NanoDefender давно искал новых сопровождающих для своего проекта и, в конце концов, продал его неизвестным.

Сопровождающий порт дополнения NanoDefender для Firеfox, после попадания основного проекта в другие руки, отказался от синхронизации кода и предложил пользователям перейти на uBlock Origin. В качестве мотивов прекращения работы над портом для Firefox упоминались явные намерения новых владельцев монетизировать проект, при отсутствии какой-либо информации о новой команде, которая ранее никак себя не проявила и не имеет следов разработки в сети.

Суть внесённых новыми разработчиками изменений в Nano Defender сводится к добавлению возможности отправки данных о любом запросе пользователя на внешний хост. При запуске дополнение загружает с хоста def.dev-nano.com структуру listOfObject, которая включает список отслеживаемых URL и используется для проверки полей объектов, передаваемых обработчиком webRequest.onBeforeSendHeaders(). При выявлении совпадений, объект handleObject, включающий детальные сведения о запросе, отправляется на хост def.dev-nano.com. Например, в listOfObject может быть передан URL банков или страниц аутентификации, и дополнение отправит на внешний хост полную информацию с содержимым всех обращений к указанным страницам.

В дополнение также добавлен код для определения активности консоли для разработчиков и отправке уведомления о попытке анализа дополнения на хост def.dev-nano.com, а также изменения поведения дополнения при включении отладочной консоли (при включении отладки handleObject перестаёт отправляться). Кроме того, в изменениях присутствует конструкция для вырезания маски "-zzz" из заголовков запроса перед их отправкой, назначение которой непонятно (возможно это заготовка для бэкдора, который планировалось включить в один из будущих выпусков).

Дополнение: Новые владельцы NanoAdblocker и NanoDefender опубликовали соглашение о приватности, в котором добавлен пункт о сборе телеметрии. На внешние серверы отправляются такие сведения, как URL, IP, время и размер запроса, время проведённое на странице, тип операционной системы и параметры пользовательского окружения.

  1. Главная ссылка к новости (https://www.reddit.com/r/firef...)
  2. OpenNews: Зафиксирована скупка популярных браузерных дополнений для распространения вредоносного кода
  3. OpenNews: Chrome-дополнение с миллионной аудиторией уличено в подстановке рекламы в результаты поиска Google
  4. OpenNews: Дополнение Web of Trust уличено в продаже сведений о посещениях пользователей
  5. OpenNews: Chrome-дополнение Particle было выкуплено у автора и превращено во вредоносное ПО
  6. OpenNews: Создатель вредоносного ПО блокировал отчёт о проблеме под предлогом нарушения авторских прав
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/53898-adv
Ключевые слова: adv, nanoadblocker, nanodefender, chrome, ublock
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (76) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, ZULUL (?), 09:42, 16/10/2020 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –7 +/
     

     ....ответы скрыты (2)

  • 1.2, m.makhno (ok), 09:47, 16/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    > автор дополнений NanoAdblocker и NanoDefender давно искал новых сопровождающих для своего проекта и, в конце концов, продал его неизвестным

    мутная какая-то история, угу

     
     
  • 2.9, Аноним (9), 10:38, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Не было времени и поэтому он продал никому неизвестным людям, причем как разработчик зная что они могут сделать что-то вредоносное? Он явно просто хотел денег и ему было всеравно что будет дальше, иначе бы он хотя бы загуглил новых владельцев.
     
     
  • 3.13, Ночной Кошмар (?), 10:50, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А может он и не продавал никому, сам решил "монетизировать", а написал, что продал ;)
     
     
  • 4.21, Аноним (21), 11:46, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Дуров свой мессенджер уже сколько лет монетизирует, и ничего, пипл хавает.
     
     
  • 5.41, Аноним (41), 13:58, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Какой из месседжеров? И чем монетизирует?
     
  • 4.23, Аноним (23), 11:54, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Филантропов в этом деле нет. Даже в "открытом" ПО. :-)
     

  • 1.3, ryoken (ok), 09:59, 16/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ждём криков жертв.
     
     
  • 2.5, Аноним (5), 10:14, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Для дополнений даже антивирусов нет, как они узнают про вирусы?
     
     
  • 3.70, Аноним (70), 01:17, 17/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    С чего вдруг нет? Любой антивирус проверяет в том числе и дополнения для браузеров.
    Впрочем, да, в линуксе же антивирусы не нужны)
     
  • 3.82, Аноним (-), 17:13, 18/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    При чем тут вирусы?!
     

  • 1.4, Аноним (5), 10:13, 16/10/2020 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –3 +/
     

     ....ответы скрыты (2)

  • 1.8, антифрактал (?), 10:26, 16/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    Раймонд, на тебя вся надежда, не бросай ты нас сирых и убогих на съедение рекламе
     
  • 1.10, КО (?), 10:41, 16/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "продал его неизвестным"
    Chrome App Store
    Идентификация, модерация?
    Не, не слышали...
     
     
  • 2.22, Аноним (22), 11:47, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Любой "аппстор" (не важно, с приложениями, дополнениями или модулями для какого-нибудь языка), если он позволяет разработчикам прямо заливать свои сборки, будет кишеть зловредами.  Единственная на данный момент более-менее внушающая доверие модель распространения ПО — это репозитории пакетов, которые выбираются и собираются из исходников мейнтейнерами репозитория независимо от разработчиков, как обычно в дистрибутивах ГНУ/Линукс.
     
     
  • 3.24, Аноним (6), 11:55, 16/10/2020 Скрыто ботом-модератором     [к модератору]
  • –18 +/
     
  • 3.31, ononoki (?), 12:46, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ровно до тех пор, пока твой святой мейнтейнер не решит засунуть малварь в пакет. Ой, вы же каждый пакет вручную проверяете на воспроизводимость, все, все, умываю руки.
     
     
  • 4.32, Аноним (32), 13:06, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Майнтейнер — не левый человек с улицы, его личность известна. И за такие дела запросто можно привлечь к ответственности (если он гражданин РФ — по статье 273 УК, в частности).
     
     
  • 5.55, Аноним (55), 16:33, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Точно так же можно привлечь к ответственности автора вредоносного форка.

    Механизм с мейнтейнерами работает, поскольку они тоже не имеют право заливать что попало. В debian за ними присматривает ftpmaster, прямо как в apple app store. Кроме того, вредоносная деятельность приведет к исключению человека из проекта - вот этому виду ответственности никаких аналогов у автора "просто вредоносного форка" нет.

     
     
  • 6.64, Аноним (64), 20:42, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Поэтому я и поддерживаю Дебиан. Личность мейнтейнера известна вплоть до квартиры в которой живёт.
    Самый безопасный и отточенный дистрибутив.
     
     
  • 7.69, ononoki (?), 22:56, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это постирония?
     
  • 7.80, JL2001 (ok), 13:30, 17/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Личность мейнтейнера известна вплоть до квартиры в которой живёт.

    зато теперь к нему могут прийти личности, которым интересно, чтоб он залил правильные дистрибные патчи

    всё относительно
    наверно лучше большое сообщество анонимных мантейнеров с репутацией+рейтингом по секторам компетенции, с публичными ревью патчей и сборок десятком рандомновыбраных (с учётом секторов компетенций?) из общества мантейнеров - защита от внедрённых казачков

     
  • 5.68, майнтейнер (?), 22:44, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Майнтейнер — не левый человек с улицы, его личность известна.

    Ага, скан паспорта тебе выслать?

    > И за такие дела запросто можно привлечь к ответственности

    Меня зовут Хрен Поймаешь, привлекай!

     
  • 4.67, майнтейнер (?), 22:43, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Ой, вы же каждый пакет вручную проверяете на воспроизводимость

    зачем вручную, автоматически! Я проверил - малварь воспроизводится, можете пользоваться!

    (или вы что, правда собрались ВСЕ сборочные скрипты ВСЕХ пакетов глазами изучать?)

     
  • 4.71, Аноним (71), 01:19, 17/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мейнтейнеров не так много и мейнтейнеры скорее представляют интересы пользователей, а не разработчиков. Понятно, что схема не безупречна, но она гораздо лучше всего остального.
     
  • 2.78, JL2001 (ok), 12:39, 17/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > "продал его неизвестным"
    > Chrome App Store
    > Идентификация, модерация?
    > Не, не слышали...

    и там написано Ли Пупкин
    идентифицированный и неизвестный никому одновременно

     

  • 1.12, Аноним (12), 10:46, 16/10/2020 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –7 +/
     

     ....ответы скрыты (3)

  • 1.18, Аноним (18), 11:23, 16/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +17 +/
    И чего всем на uBlock Origin не сидится? Какие-то нано, *уяно, васяно и т.д дефендерами обмажутся и *бут друг друга в *опы..
     
     
  • 2.20, timur.davletshin (ok), 11:41, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это самый главный вопрос, зачем на всех этих деривативах сидят.
     
     
  • 3.37, Sin2x (ok), 13:39, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Nano Defender добавляет дополнительную защиту от обнаружения Nano Adblocker и uBlock Origin
     
     
  • 4.40, timur.davletshin (ok), 13:57, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И как, добавила?
     
     
  • 5.44, Sin2x (ok), 14:53, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > И как, добавила?

    До сегодняшнего дня предупреждений об использовании адблокера нигде не видел, так что, очевидно, да. Использую ещё с тех пор, когда он назывался uBlock Protector. Сейчас удалил, конечно.

     
  • 4.42, Аноним (-), 14:01, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это маркетинговый бред.
    uBlock прекрасно с этим справляется.
    У uBlock есть специальна подписка "uBlock filters – Annoyances"
    Это "антиадблок вне рунета".
    А если с этим есть праблема на сайтах СНГ и Украины, то надо писать в подписку "RU AdList".
     
     
  • 5.45, Sin2x (ok), 14:58, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Это маркетинговый бред.
    > uBlock прекрасно с этим справляется.
    > У uBlock есть специальна подписка "uBlock filters – Annoyances"
    > Это "антиадблок вне рунета".
    > А если с этим есть праблема на сайтах СНГ и Украины, то
    > надо писать в подписку "RU AdList".

    Маркетинговый бред от опенсорс проекта? Ну-ну.

    Снёс дефендер сейчас, буду наблюдать.

     
     
  • 6.75, Аноним (75), 09:25, 17/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Маркетинговый бред от опенсорс проекта? Ну-ну.

    А почему нет? опенсорс проекты такие же люди пишут. им тоже чужды слабости

     
  • 5.52, timur.davletshin (ok), 15:30, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В рунете всё сложнее. Яндекс со своим янденкс-директом, встраиваемым в рандомные блоки и приходящий с оригинального домена, давно впереди планеты всей. Резать или отчасти скрывать их научились только недавно. До этого приходилось umatrix'ом спуфить referer.
     
     
  • 6.60, Аноним (28), 19:43, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Только недавно? Я всего пару раз видел за всё время, и то, подписки давно не обновлялись и как обновились всё в норму пришло. Наверное, вы шастаете по совсем уж помойкам, ничто не помешает авторам помойки поставить посетителя в коленно-локтевую позицию при большом желании. Обычные рекламные сети замечательно вырезаются.
     
     
  • 7.62, timur.davletshin (ok), 19:59, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Карты Yandex сходи, дружок. Или на популярнейший новостной ресурс РФ.
     
     
  • 8.63, Аноним (28), 20:35, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Сервис от яндекс выкручивает тебе яйца ради получения прибыли другим сервисом от... текст свёрнут, показать
     
     
  • 9.66, timur.davletshin (ok), 22:26, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хороший ответ, а главное, что дельный И знаешь, что Если бы в Яндексе они не р... текст свёрнут, показать
     
  • 8.74, Аноним (75), 09:22, 17/10/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У меня рекламы нету Встроенные правила EasyList EasyPrivacy RU AdList ... текст свёрнут, показать
     
  • 5.56, нонА (?), 16:35, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > писать в подписку "RU AdList"

    Эта та подписка, автор которой использует ее для своих личных дрязг?

     

  • 1.19, Аноним (19), 11:36, 16/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Defender - это прям ярлык что там вредоносное что-то же
     
  • 1.25, Аноним (23), 11:56, 16/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На один зонд больше, на один меньше... В общем фоне незначительно.
     
     
  • 2.27, Аноним (27), 12:04, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Расширение блокирует плохие зонды, и вставляет хорошие. Приватность, которую мы заслужили.
     
     
  • 3.29, Ненавижу SJW (?), 12:37, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да зачем тебе нужна та приватность, что ты будешь с ней делать? :)
     
     
  • 4.30, Аноним (30), 12:41, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Приватность - не данность, а результат осознанного труда :)
     
  • 3.33, Аноним (32), 13:11, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Расширение блокирует плохие зонды, и вставляет хорошие. Приватность, которую мы заслужили.

    Ghostery, например, именно так работает, не скрывая этого. И при этом многие продолжают им пользоваться (количество этих многих можно будет оценить по числу минусов, которое наберёт сий коммент).

     
     
  • 4.35, Sluggard (ok), 13:27, 16/10/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    У Ghostery есть настройка «Принять участие / отказаться», где отключается всякий сбор аналитики и прочая телеметрия. Это всё-таки не одно и то же с тем, что описано в новости — когда в дополнение добавили скрытую отсылку данных, да ещё и код для скрытия этого, когда кто-то консоль открывает.
     

  • 1.34, Аноним (12), 13:27, 16/10/2020 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –9 +/
     

     ....ответы скрыты (6)

  • 1.46, awoland (ok), 15:02, 16/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Удалил и зарепортил абузу...
     
  • 1.47, Total Anonimus (?), 15:09, 16/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что интересно : на днях на руборде возник вопрос о продаже ubo яндексу . :) Тестирование реакции ?
     
  • 1.50, Аноним (51), 15:17, 16/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > давно искал новых сопровождающих для своего проекта и, в конце концов, продал его неизвестным.

    Летом проводил исследование ~1500 пакетов установленных в моей системе:

    <20% имеют подпись своих исходников
    ~20 пакетов сменилась подпись владельца на подпись другого человека. Причем крос подписи нет, то есть люди лично не встречались, паспорта друг-другу не показывали и почтовые ящики не верифицировали. Вывод: отдали свой проект в чужие, незнакомые, надеемся добрые, руки...

     
  • 1.54, Аноним (54), 16:08, 16/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И вот хватает у кого-то терпения ещё новости про это писать. Там каждое дополнение вредоносное. Сам хром вредоносное приложение.
     
  • 1.58, Аноним (58), 17:38, 16/10/2020 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –1 +/
     

  • 1.59, Kuromi (ok), 18:17, 16/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "при отсутствии какой-либо информации о новой команде" - как это никакой инормации, ма даже в дискуссии на Гитхабе их просто называют "Турецкие разработчики". Что еще они ждали?
     
  • 1.61, Аноним (61), 19:54, 16/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Повод в хроме ограничить api...
     
  • 1.72, Аноним (-), 05:24, 17/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так кто тут всё время плюсует новость про выход браузера Chrome?

    Google уже на заре своего существования предпринимал попытки слежки. Помню давно-давно была новость, в Германии Google-мобиль объезжал немецкие земли создавая карту трёхмерного изображения местности. Казалось бы прогресс и благо, Google Map и всё такое. А вот немцы заметили что Google-мобиль снифил трафик местной Wi-Fi сети, был скандал.

     
     
  • 2.77, Суньхуйвчай (?), 12:25, 17/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Админ накручивает.
     
  • 2.79, InuYasha (??), 13:23, 17/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    а как с ними бороться? с гулаг-мобилями-то? (или там человек ещё?)
     
  • 2.81, Неанонимэ (?), 16:34, 17/10/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Быть может, те, кто пилит на электроне промо-функции
     

  • 1.83, Анони3m (?), 10:03, 20/10/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а кто подскажет аналоги есть? если какие-то списки которые бы также защиту от обнаружения uBlock Origin
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру