The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

04.08.2017 11:49  Злоумышленники получили контроль над Chrome-дополнением с миллионной аудиторией

Продолжаются фишинг-атаки на разработчиков браузерных дополнений, проводимые с целью захвата контроля над дополнением и подстановки в него вредоносного кода, отображающего навязчивые рекламные блоки. Если первой жертвой атаки стало дополнение Copyfish с аудиторией 40 тысяч установок, то новая жертва оказалась значительно крупнее - злоумышленникам удалось получить контроль за дополнением Web Developer у которого более миллиона активных пользователей.

По сообщению автора Web Developer, он по недосмотру ввёл данные в подставную форму аутентификации Google, подготовленную организаторами фишинг-атаки. Метод проведения атаки был идентичен недавно описанной атаке на дополнение Copyfish. Разработчику также пришло письмо с уведомлением о наличии проблем с соблюдением правил каталога Chrome App Store и ссылкой на тикет с информацией по их устранению, при переходе на которую выдавалась подставная форма входа Google.

Захватив аккаунт злоумышленники сразу опубликовали новую версию Web Developer 0.4.9, в которую встроили код для подстановки своей рекламы на просматриваемые пользователем сайты. Не исключается, что дополнение могло выполнять и другие вредоносные действия, например, перехват паролей к web-сайтам (в частности, имеются подозрения на перехват параметров доступа к API Cloudflare).

Версия с вредоносным кодом распространялась в течение нескольких часов, после чего разработчик уведомил о проблеме инженеров Google, поменял параметры входа и оперативно выпустил обновление 0.5 с устранением вредоносной вставки. Для защиты от подобных фишинг-атак разработчикам дополнений рекомендуется включить в настройках двухфакторную аутентификацию (автор Web Developer её не использовал, что наряду с невнимательностью при заполнении форм оказало решающее влияние на успех проведения атаки).

  1. Главная ссылка к новости (http://chrispederick.com/blog/...)
  2. OpenNews: Фишинг-атака по захвату браузерных дополнений для встраивания в них вредоносного кода
  3. OpenNews: Новый метод фишинга с использованием unicode-символов в домене
  4. OpenNews: Уязвимость, позволяющая отобразить иной домен в адресной строке браузера
  5. OpenNews: Google начинает блокировать сайты с обманными кнопками загрузки программ
  6. OpenNews: Предложение по использованию TLD-доменов ".secure" для гарантированно защищённых ресурсов
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: chrome, phishing
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.4, Аноним (-), 12:28, 04/08/2017 [ответить] [показать ветку] [···]    [к модератору]
  • –1 +/
    Если код вставлял свою рекламу, то, по идее, не сложно должно быть выяснить (для гугла, например), кто за эту рекламу деньги получает. А тут уже и до уголовного дела не далеко.
     
     
  • 2.8, Аноним (-), 12:46, 04/08/2017 [^] [ответить]    [к модератору]
  • +/
    Осталось доказать, а разумные люди вставляли бы не только свою рекламу.
     
     
  • 3.62, feudor (ok), 14:48, 08/08/2017 [^] [ответить]    [к модератору]
  • +/
    тех кто занимается разбоем и грабежами можно как угодно назвать но только они от этого разумными не становятся.
     
  • 1.5, Аноним (-), 12:28, 04/08/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +5 +/
    Кстати, фишинг может быть правдоподобной оплаченной попыткой под дурачка закосить.
     
     
  • 2.24, рептилоид (?), 14:32, 04/08/2017 [^] [ответить]    [к модератору]
  • +7 +/
    > Кстати, фишинг может быть правдоподобной оплаченной попыткой под дурачка закосить.

    да, мы везде!

     
  • 2.36, paulus (ok), 17:56, 04/08/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    >фишинг может быть правдоподобной оплаченной попыткой под дурачка закосить.

    Сорри, я тут бабла и данных чуток покосил :)

     
  • 1.7, Аноним (-), 12:42, 04/08/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    Я думаю google надо запретить публиковать дополнения тем у кого нет второго фактора. Это будет правильное решение. Что это за разраб который не способен защитить свое приложение? В лес такого разраба
     
     
  • 2.9, Аноним (-), 12:51, 04/08/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    И чем тут поможет второй фактор На фишинг-страничке ещё одно поле для ввода сде... весь текст скрыт [показать]
     
     
  • 3.12, Аноним (-), 13:15, 04/08/2017 [^] [ответить]    [к модератору]  
  • +/
    Второй фактор - подтверждение СМС, не?
     
     
  • 4.15, Аноним (-), 13:17, 04/08/2017 [^] [ответить]     [к модератору]  
  • +/
    и ты этот код введешь на той же фишинговой странице, большое спасибо А мы тебе ... весь текст скрыт [показать]
     
     
  • 5.18, Аноним (-), 13:31, 04/08/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Ты этот код просто не получишь
     
     
  • 6.19, анон (?), 13:46, 04/08/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    Почему Фишинговая форма прикручена через условный селениум к настоящей странице... весь текст скрыт [показать]
     
     
  • 7.29, анонимно (?), 16:04, 04/08/2017 [^] [ответить]    [к модератору]  
  • +6 +/
    Ну во первых фишинговая страничка ворующая логин с паролем это намного проще чем страничка с перенаправлением на сервер google.

    Во вторых сервер google может заартачиться

    В третьих получив доступ к аккаунту злоумышленник не сможет сменить пароль без СМСки которую уже неоткуда взять.

    Сделай google дальше загрузку обновленного ПО через подтверждение СМС и всё, атака остановлена
    (заметили что банки на транзакцию тоже СМС хотят не смотря на то что вас они по 2 фактору уже аутентифицировали)

    Человек получит сообщения что что-то не то и на его акк вошли с другого устройства и быстро поменяет пароль и остановит атаку на порядок быстрее чем это сделает техсаппорт google.

    Видите сколько неоспоримых плюсов если подумать.

     
     
  • 8.33, Аноним (-), 17:17, 04/08/2017 [^] [ответить]     [к модератору]  
  • +/
    Злоумышленнику никто не мешает сменить привязанный телефон Выдоить из пользоват... весь текст скрыт [показать]
     
     
  • 9.40, Sasha (??), 19:35, 04/08/2017 [^] [ответить]    [к модератору]  
  • +/
    Для смены телефона разве не надо отправить смс на старый телефон?
     
     
  • 10.58, Аноним (-), 14:13, 07/08/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    При вводе кода подтверждения авторизации просто сообщаем пользователю, что код в... весь текст скрыт [показать]
     
  • 9.43, Аноним (-), 20:40, 04/08/2017 [^] [ответить]     [к модератору]  
  • +/
    1 От клинического случая ничего не поможет, но не думаю что это случай который ... весь текст скрыт [показать]
     
     
  • 10.55, борис эйк (?), 10:45, 05/08/2017 [^] [ответить]     [к модератору]  
  • +/
    ffgj... весь текст скрыт [показать]
     
  • 4.20, Ergil (ok), 13:59, 04/08/2017 [^] [ответить]     [к модератору]  
  • +3 +/
    Не обязательно TOTP RFC 6238 у того же гугла, да вроде и железный второй фактор... весь текст скрыт [показать]
     
     
  • 5.23, Аноним (-), 14:29, 04/08/2017 [^] [ответить]     [к модератору]  
  • +/
    был, ubiquity, но вот в эреф ты ее попробуй-ка купи Я пытался - хрен там - ... весь текст скрыт [показать]
     
     
  • 6.30, анонимно (?), 16:08, 04/08/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    В РФ бери fido u2f JaCarta U2F... весь текст скрыт [показать]
     
     
  • 7.53, Kuromi (?), 00:12, 05/08/2017 [^] [ответить]     [к модератору]  
  • +/
    Джакарта дорогая и ненужно Проще посмотреть на амазоне там бывают недорогие ва... весь текст скрыт [показать]
     
     
  • 8.56, Аноним (-), 15:18, 05/08/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    а потом, приехав побухать с друзьями в LA, неожиданно присесть лет на двадцать ... весь текст скрыт [показать]
     
  • 2.13, Аноним (-), 13:15, 04/08/2017 [^] [ответить]     [к модератору]  
  • +/
    гуглю давно надо запретить выделываться с угрозами немедленно блокировать дополн... весь текст скрыт [показать]
     
     
  • 3.21, Ergil (ok), 14:03, 04/08/2017 [^] [ответить]     [к модератору]  
  • +/
    Хорошо Введешь Авторизуется И тебе придет письмо 171 Вы только что залогини... весь текст скрыт [показать]
     
     
  • 4.22, Аноним (-), 14:28, 04/08/2017 [^] [ответить]     [к модератору]  
  • +/
    ну так ему и пришло, и он именно тогда и понял, что попал, когда ж еще А если д... весь текст скрыт [показать]
     
     
  • 5.31, анонимно (?), 16:10, 04/08/2017 [^] [ответить]    [к модератору]  
  • +/
    Ну т.е. вы описываете уж совсем клинический случай. Таких надо банить и по делом.


     
     
  • 6.41, Аноним (-), 19:39, 04/08/2017 [^] [ответить]     [к модератору]  
  • +/
    то есть вы никогда не опечатываетесь, ни в пароле, ни в длинной бессмысленной ст... весь текст скрыт [показать]
     
     
  • 7.44, Аноним (-), 20:42, 04/08/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    gt оверквотинг удален у меня есть yubico токен яжепраграммист ... весь текст скрыт [показать]
     
     
  • 8.49, Аноним (-), 21:30, 04/08/2017 [^] [ответить]     [к модератору]  
  • +/
    блин, ты напрограммил убико-токен А если купил - то где официальный представи... весь текст скрыт [показать]
     
  • 4.34, Аноним (-), 17:43, 04/08/2017 [^] [ответить]     [к модератору]  
  • +/
    Какая защита Если злоумышленник арендует хост в твоём регионе и часовом поясе, ... весь текст скрыт [показать]
     
     
  • 5.42, Злоумышленник (?), 19:41, 04/08/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    может мне еще и собственной кредиткой за него заплатить, чтоб совсем уж спалитьс... весь текст скрыт [показать]
     
  • 1.26, Kodir (ok), 15:05, 04/08/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Вот что значит неконтролируемый выход в сеть - СУДИТЬ надо  любую компанию, ПО которой вылезает в Интернет без разрешения автора.
    Если бы плагины обновлялись по желанию юзера, инфицированная база была бы стократ меньше.
     
     
  • 2.27, Anonplus (?), 15:24, 04/08/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Чего мелочиться - сразу расстреливать.
    Это экстремизм, батенька.
     
  • 2.28, Аноним84701 (ok), 15:40, 04/08/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    А если бы кое-кто не будем показывать пальцем на хромающего лидера и законодат... весь текст скрыт [показать]
     
  • 1.47, AlexYeCu_not_logged (?), 21:25, 04/08/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    ssh? Не, не слышали.
     
  • 1.54, НяшМяш (ok), 00:48, 05/08/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Если уж разработчики умудряются свои данные слить добровольно, то простых юзеров даже бить за это не хочется теперь.
     
  • 1.59, Аноним (-), 17:29, 07/08/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Да лаадна. Быть того не могёт. Дыряв только флеш. Остальные нашлепки на браузеры прочнее брони. Сами браузеры вообще не могут быть дырявыми. Никогда. Ни за что.
     
     
  • 2.60, Аноним (-), 11:25, 08/08/2017 [^] [ответить]    [к модератору]  
  • +/
    Сарказм это низшая форма юмора.
     
     
  • 3.61, Аноним (-), 13:20, 08/08/2017 [^] [ответить]    [к модератору]  
  • +/
    Сарказм - это приём сатиры, высшая степень иронии, он вообще не свойственен юмору.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor