The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

16.01.2018 23:44  В четырёх популярных дополнениях к Chrome выявлен вредоносный код

Исследователи из компании ICEBRG выявили четыре дополнения к Google Chrome, в которых присутствовали вредоносные вставки, позволяющие выполнять в браузере произвольный код, загружаемый со сторонних сайтов. Аудитория одного из проблемных дополнений насчитывает 509 тысяч пользователей.

Компания ICEBRG была привлечена для разбора причин появления аномального трафика с рабочих станций одного из клиентов. В результате проведённого исследования было определено, что причиной данного трафика являются четыре дополнения, представленные в каталоге Chrome Web Store: Nyoogle - Custom Logo for Google (509 тысяч пользователей), Lite Bookmarks, Change HTTP Request Header (14 тысяч), и Stickies - Chrome's Post-it Notes (21 тысяча).

В дополнениях был прошит код для получения команд с внешнего сервера под видом обновления конфигурации. Фактически на машине пользователя мог быть выполнен любой JavaScript-код, но на практике была зафиксирована только активность, связанная с накруткой кликов на баннеры в рекламных сетях. Код передавался в закамуфлированном виде в составе отдаваемого внешним сервером JSON-блока с данными. Для обхода Content Security Policy (CSP) дополнениями запрашивались полномочия "unsafe-eval". После загрузки внешнего кода дополнение выполняло проверку на предмет запуска отладочных инструментов (chrome://inspect/ и chrome://net-internals/) и если они не обнаружены запускало код в контексте браузерного дополнения.

Для запутывания следов в одном из дополнений выполнение вредоносного кода осуществлялось при помощи модифицированной библиотеки jQuery, метод ajax() в которой был изменён для подмены MIME-типа с "text" на "script" в случае наличия в данных строки "\\\==". Выявленные экземпляры загружаемого вредоносного кода осуществляли создание туннеля к внешнему серверу при помощи WebSocket. Данный туннель использовался в качестве прокси для перенаправления трафика через компьютер пользователя, установившего вредоносное дополнение. Перенаправляемый трафик был связан с загрузкой различных рекламных служб, для которых был организован процесс совершения подставных кликов с системы пользователя.



  1. Главная ссылка к новости (https://www.icebrg.io/blog/mal...)
  2. OpenNews: Некоторым пользователям Firefox навязано непонятное дополнение Looking Glass
  3. OpenNews: В результате фишинга получен контроль ещё над 6 дополнениями к Chrome
  4. OpenNews: Злоумышленники получили контроль над Chrome-дополнением с миллионной аудиторией
  5. OpenNews: В браузерном дополнении Cisco WebEx выявлен URL, позволяющий выполнить код в системе
  6. OpenNews: Дополнение Web of Trust уличено в продаже сведений о посещениях пользователей
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: chrome, malware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 00:15, 17/01/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +43 +/
    Только в четырёх? Что-то они плохо искали.
     
     
  • 2.12, angra (ok), 04:30, 17/01/2018 [^] [ответить]    [к модератору]
  • +6 +/
    Ну так они и не делали анализ всех существующих дополнений вообще, а только тех, что были установлены у конкретного юзера.
     
  • 2.30, dtjty (?), 10:01, 17/01/2018 [^] [ответить]    [к модератору]
  • +13 +/
    В четырех вредоносных приложениях обнаружен Chrome.
     
  • 1.2, А (??), 00:27, 17/01/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –11 +/
    После таких новостей перешёл на огнелис квантум и проблем не знаю.
     
     
  • 2.3, pike (?), 00:30, 17/01/2018 [^] [ответить]    [к модератору]
  • +15 +/
    я тоже думаю: лучше, когда родной браузер и по-тихому, нежели неизвестно кто, да ещё и слово-то какое подобрали "вредоносный" - нет бы как у людей: "экспериментальная фича"
     
  • 2.15, Аноним (-), 05:51, 17/01/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    Как это решает вопрос с безопасностью плагинов?
     
     
  • 3.16, Grammar (?), 06:23, 17/01/2018 [^] [ответить]    [к модератору]  
  • +6 +/
    В Firefox Quantum их значительно меньше)
     
     
  • 4.23, Роскомпозор (?), 08:47, 17/01/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    вообщем никак кроме инфантильной "веры"
     
     
  • 5.26, Анониммм (?), 09:22, 17/01/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Другого решения вопросов безопасности пока не придумали.
     
  • 5.50, Аноним (-), 12:49, 17/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Вообще не знаю как сейчас, а до недавнего времени Mozilla проверяла параноидально все дополнения вручную (человеками). И не то что вредоносные, а просто не правильно работающие не пропускала.
     
  • 2.21, ыы (?), 08:23, 17/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Вы были одним из тех..оригиналов...установивших себе Custom Logo for Google ? :)
     
  • 2.38, DmA (??), 11:10, 17/01/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Firefox -это явно не гарантия отсутствия проблем В сфере ИБ даже такие давно не... весь текст скрыт [показать]
     
     
  • 3.61, Аноним (-), 17:31, 17/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > выкинуть этот комп и телефон и купить что-нибудь новенькое без известных проблем в безопаности.

    брёвен на сруб, парусину для мельницы, двустволку

     
     
  • 4.63, iZEN (ok), 18:06, 17/01/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Ну зачем так категорично Взять книги по физике и математике Изучить, какие про... весь текст скрыт [показать]
     
     
  • 5.66, Аноним (-), 18:31, 17/01/2018 [^] [ответить]     [к модератору]  
  • +/
    физика с математикой враждебны этой жизни, в мире, где пластик и нефтепродукты в... весь текст скрыт [показать]
     
     
  • 6.70, iZEN (ok), 09:41, 18/01/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Вы считаете, горящие фитили на свечках и костры инквизиций помогут сделать нашу жизнь ярче и светлее, не вытесняя жизни?
     
     
  • 7.73, Аноним (-), 20:11, 18/01/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    догма всегда будет довлеть над якобы свободными умами, чистое сознание находится... весь текст скрыт [показать]
     
  • 2.43, DmA (??), 11:25, 17/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > После таких новостей перешёл на огнелис квантум и проблем не знаю.

    Мне кажется ты просто не хочешь замечать проблемы!

     
  • 2.53, Аноним (-), 14:03, 17/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Можно подумать, там что-то другое в каталоге дополнений. Теперь ещё и портирование малвари с хромого облегчили.
     
  • 2.64, iZEN (ok), 18:11, 17/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > После таких новостей перешёл на огнелис квантум и проблем не знаю.

    Теперь ты под ещё более точным прицелом глаз хакеров.

     
  • 2.72, Аноним (-), 18:20, 18/01/2018 [^] [ответить]    [к модератору]  
  • +/
    А зря, там теперь тоже проверка не ахти и пока просто слишком мало написали, да и доля рынка теперь и впредь будет только снижаться.
     
  • 1.5, Antal Mykola (?), 00:49, 17/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    В опасном мире мы живем
     
     
  • 2.65, iZEN (ok), 18:16, 17/01/2018 [^] [ответить]     [к модератору]  
  • +/
    И не говори Джунгли кругом И ты один как перст среди этого серо-бурого месива,... весь текст скрыт [показать]
     
  • 1.7, хром (?), 00:59, 17/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    вывод ? не ставить никаких дополнений
     
     
  • 2.33, dontbelieveinghosts (ok), 10:15, 17/01/2018 [^] [ответить]    [к модератору]  
  • –3 +/
    в лисе это не спасет, она сама поставит тебе все что захочет, а ты даже и знать не будешь
     
  • 1.9, Аноним (-), 01:50, 17/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    "Custom Logo for Google"
    Вот кому делать совсем уж нечего, это тем, кто установил это дополнение.
     
     
  • 2.13, angra (ok), 04:38, 17/01/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Да ты что. А как же еще продемонстрировать свою яркость и индивидуальность? Как еще заявить миру, что ты не такой как все, что ты не часть серой массы, а один из полумиллиона элитариев?
     
     
  • 3.19, ryoken (ok), 07:37, 17/01/2018 [^] [ответить]     [к модератору]  
  • +/
    а нафейхоа чем меньше про тебя знают, тем лучше ... весь текст скрыт [показать]
     
  • 2.39, DmA (??), 11:11, 17/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > "Custom Logo for Google"
    > Вот кому делать совсем уж нечего, это тем, кто установил это дополнение.

    точно, полмиллиона на Земле никчёмные бездельники.

     
     
  • 3.60, dq0s4y71 (ok), 16:18, 17/01/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Подозреваю, что гораздо больше :)
     
  • 3.74, Michael Shigorin (ok), 01:12, 19/01/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Ну и как Вы так могли про гуглоппозицию ... весь текст скрыт [показать]
     
  • 1.14, nexfwall (ok), 04:43, 17/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    > После загрузки внешнего кода дополнение выполняло проверку на предмет запуска отладочных инструментов (chrome://inspect/ и chrome://net-internals/) и если они не обнаружены запускало код в контексте браузерного дополнения.

    Так это, может это плохо что расширение имеет возможность узнавать, запущено ли окно дебага или нет?

     
  • 1.17, Джокер (?), 07:11, 17/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    > В 4х популярных дополнениях к Chrome выявлен вредоносный код

    В мире всплакнул один маленький майор.

     
     
  • 2.57, Аноним (-), 14:40, 17/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Потому, что только в 4-х?
     
  • 1.20, Аноним (-), 08:15, 17/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Открыл у себя список дополнений в Chrome и Firefox установлено по одному дополнению, можете догадаться по какому :).

    Мне спокойно

     
     
  • 2.35, freehck (ok), 10:58, 17/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Окей, понимаю Но скажи, в чём принципиальное отличие вот этого от того, что... весь текст скрыт [показать]
     
     
  • 3.46, VEG (ok), 11:57, 17/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Mozilla в принципе может любой код выполнять во время обновления Некоторая стан... весь текст скрыт [показать]
     
     
  • 4.48, Crazy Alex (ok), 12:43, 17/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Нет. Странно, что очень малая часть функциональности оформлена в виде расширений и что они скрыты. И что их "эксперименты" очень сомнительны с точки зрения удобства и приватности пользователей.
     
  • 4.54, Аноним (-), 14:06, 17/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    > Mozilla в принципе может любой код выполнять во время обновления.

    Вендопроблемы.

     
  • 1.24, Аноним (-), 08:59, 17/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    > chrome://inspect/ и chrome://net-internals/

    Срочно надо писать дополнение, которое делает вид, что эти штуки всегда открыты.

     
  • 1.28, Анониммм (?), 09:24, 17/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Вроде бы отследить кто получает профит с этой рекламы совсем не сложно, но почему-то подобное продолжается. Как минимум, рекламодателям это должно быть оч интересно.
     
     
  • 2.56, гугль (?), 14:22, 17/01/2018 [^] [ответить]    [к модератору]  
  • +/
    а чего следить-то - я получаю.
    И чо?
     
  • 1.29, Аноним (-), 09:48, 17/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Проблема конкретно в хромом или в концепции webextensions в целом?
     
     
  • 2.32, айтиспециалист (?), 10:13, 17/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Проблема в компутерах
     
  • 1.36, VoDA (ok), 11:02, 17/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Мне одному кажется, что проблема в самой возможности загрузить внешние данные и запустить данные-как-код?
    Отпилить eval и тонна схожих дыр в безопасности будет закрыта.


    Подскажите, может ли "сферические приложение в вакууме" где принципиально разнесены данные и исполняемый код быть подвержено схожим проблемам?

     
     
  • 2.44, Crazy Alex (ok), 11:50, 17/01/2018 [^] [ответить]     [к модератору]  
  • +/
    да какая разница, что мешает засунуть свой интерпретатор скриптов юВсё равно, ... весь текст скрыт [показать]
     
     
  • 3.45, VoDA (ok), 11:54, 17/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Что в Линукс репозиториях препятствует выполнению скрытых скриптов скачанных с сервера?
     
     
  • 4.49, Crazy Alex (ok), 12:46, 17/01/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    Открытый исходный код, самостоятельная сборка из него и контроль маинтайнеров, вестимо. Или думаете, что какие-нибудь RHEL, центось или дебиан - не интересные мишени?
     
  • 4.68, iPony (?), 06:06, 18/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Смотря про что речь Если про десктоп, то принцип неуловимого Джо Если про серв... весь текст скрыт [показать]
     
  • 4.75, Michael Shigorin (ok), 01:14, 19/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > Что в Линукс репозиториях препятствует выполнению скрытых скриптов
    > скачанных с сервера?

    Например, сборка в ~чруте без сети.

     
  • 1.40, Аноним (-), 11:13, 17/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > выявлен вредоносный код

    Не согласен. Это не вредоносный код. Он приносит пользу. Правда, одному конкретному человеку, но ведь пользу!

     
  • 1.47, Аноним (-), 12:07, 17/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Странно, что Google Project Zero ищет сомнительные дыры в Blender и Transmission, когда у них такая помойка прямо под носом.
     
     
  • 2.55, Аноним (-), 14:08, 17/01/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > Странно, что Google Project Zero ищет сомнительные дыры в Blender и Transmission,
    > когда у них такая помойка прямо под носом.

    Искать мусор на помойке скучно.

     
  • 1.51, DmA (??), 13:10, 17/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Браузер давно уже нужно написать без всякой операционной системы для отдельного компьютера, чтобы никаких кроме него файлов там в принципе не было! Тупизм конечно, но в свете последних событий нужно что-то в корне менять
     
     
  • 2.58, Garrick (?), 15:17, 17/01/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Так есть же уже - Chromium OS называется
     
  • 1.52, Аноним (-), 13:59, 17/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Я для банкинга в firefox создал профиль safe без плагинов (запуск через firefox -P <имя профиля>), а есть что-то подобное этому в chromium? Имеет смысл ей пользоваться.
     
     
  • 2.59, Аноним (-), 16:13, 17/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    отдельного UNIX-пользователя создавать надо, а не профили в этих ваших броузерах
     
     
  • 3.71, КО (?), 09:44, 18/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Да, что уж там - виртуалочку. :)
     
  • 2.62, Анонимаус (?), 18:03, 17/01/2018 [^] [ответить]    [к модератору]  
  • +/
    google-chrome --user-data-dir=/tmp/temp-chrome-profile
     
  • 1.69, Аноним (-), 09:36, 18/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Давно ищу дополнение которое блокирует установку других дополнений. Есть такое, кто знает?
     
  • 1.76, Аноним (76), 00:56, 26/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >Custom Logo for Google (509 тысяч пользователей)

    Всего-то полмиллиона идиотов в интернетах, я думал минимум 90%.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor