The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В четырёх популярных дополнениях к Chrome выявлен вредоносный код

16.01.2018 23:44

Исследователи из компании ICEBRG выявили четыре дополнения к Google Chrome, в которых присутствовали вредоносные вставки, позволяющие выполнять в браузере произвольный код, загружаемый со сторонних сайтов. Аудитория одного из проблемных дополнений насчитывает 509 тысяч пользователей.

Компания ICEBRG была привлечена для разбора причин появления аномального трафика с рабочих станций одного из клиентов. В результате проведённого исследования было определено, что причиной данного трафика являются четыре дополнения, представленные в каталоге Chrome Web Store: Nyoogle - Custom Logo for Google (509 тысяч пользователей), Lite Bookmarks, Change HTTP Request Header (14 тысяч), и Stickies - Chrome's Post-it Notes (21 тысяча).

В дополнениях был прошит код для получения команд с внешнего сервера под видом обновления конфигурации. Фактически на машине пользователя мог быть выполнен любой JavaScript-код, но на практике была зафиксирована только активность, связанная с накруткой кликов на баннеры в рекламных сетях. Код передавался в закамуфлированном виде в составе отдаваемого внешним сервером JSON-блока с данными. Для обхода Content Security Policy (CSP) дополнениями запрашивались полномочия "unsafe-eval". После загрузки внешнего кода дополнение выполняло проверку на предмет запуска отладочных инструментов (chrome://inspect/ и chrome://net-internals/) и если они не обнаружены запускало код в контексте браузерного дополнения.

Для запутывания следов в одном из дополнений выполнение вредоносного кода осуществлялось при помощи модифицированной библиотеки jQuery, метод ajax() в которой был изменён для подмены MIME-типа с "text" на "script" в случае наличия в данных строки "\\\==". Выявленные экземпляры загружаемого вредоносного кода осуществляли создание туннеля к внешнему серверу при помощи WebSocket. Данный туннель использовался в качестве прокси для перенаправления трафика через компьютер пользователя, установившего вредоносное дополнение. Перенаправляемый трафик был связан с загрузкой различных рекламных служб, для которых был организован процесс совершения подставных кликов с системы пользователя.



  1. Главная ссылка к новости (https://www.icebrg.io/blog/mal...)
  2. OpenNews: Некоторым пользователям Firefox навязано непонятное дополнение Looking Glass
  3. OpenNews: В результате фишинга получен контроль ещё над 6 дополнениями к Chrome
  4. OpenNews: Злоумышленники получили контроль над Chrome-дополнением с миллионной аудиторией
  5. OpenNews: В браузерном дополнении Cisco WebEx выявлен URL, позволяющий выполнить код в системе
  6. OpenNews: Дополнение Web of Trust уличено в продаже сведений о посещениях пользователей
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/47919-chrome
Ключевые слова: chrome, malware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (61) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 00:15, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +43 +/
    Только в четырёх? Что-то они плохо искали.
     
     
  • 2.12, angra (ok), 04:30, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Ну так они и не делали анализ всех существующих дополнений вообще, а только тех, что были установлены у конкретного юзера.
     
  • 2.30, dtjty (?), 10:01, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +13 +/
    В четырех вредоносных приложениях обнаружен Chrome.
     

  • 1.2, А (??), 00:27, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –11 +/
    После таких новостей перешёл на огнелис квантум и проблем не знаю.
     
     
  • 2.3, pike (?), 00:30, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +15 +/
    я тоже думаю: лучше, когда родной браузер и по-тихому, нежели неизвестно кто, да ещё и слово-то какое подобрали "вредоносный" - нет бы как у людей: "экспериментальная фича"
     
  • 2.15, Аноним (-), 05:51, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Как это решает вопрос с безопасностью плагинов?
     
     
  • 3.16, Grammar (?), 06:23, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +6 +/
    В Firefox Quantum их значительно меньше)
     
     
  • 4.23, Роскомпозор (?), 08:47, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    вообщем никак кроме инфантильной "веры"
     
     
  • 5.26, Анониммм (?), 09:22, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Другого решения вопросов безопасности пока не придумали.
     
  • 5.50, Аноним (-), 12:49, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще не знаю как сейчас, а до недавнего времени Mozilla проверяла параноидально все дополнения вручную (человеками). И не то что вредоносные, а просто не правильно работающие не пропускала.
     
  • 2.21, ыы (?), 08:23, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы были одним из тех..оригиналов...установивших себе Custom Logo for Google ? :)
     
  • 2.38, DmA (??), 11:10, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Firefox -это явно не гарантия отсутствия проблем. В сфере ИБ даже такие давно незыблеммые аксиомы оказались под ударом : чипокалипсис(процессоры Intel,AMD и ARM) и WPA2. Фактически оптимальнее не подходить к компьютеру и телефону до конца этого года как минимум, а потом уже выкинуть этот комп и телефон и купить что-нибудь новенькое без известных проблем в безопаности.
     
     
  • 3.61, Аноним (-), 17:31, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > выкинуть этот комп и телефон и купить что-нибудь новенькое без известных проблем в безопаности.

    брёвен на сруб, парусину для мельницы, двустволку

     
     
  • 4.63, iZEN (ok), 18:06, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну зачем так категорично?

    Взять книги по физике и математике. Изучить, какие проблемы не решены, какие теоремы не доказаны. Ручку и блокнот в руки, включаете мозг и вперёд - решать задачи. Человечество это оценит, а не то, что вы там по интернетам всяким дырявым лазаете.

     
     
  • 5.66, Аноним (-), 18:31, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    физика с математикой враждебны этой жизни, в мире, где пластик и нефтепродукты встроены в пищевую цепочку, вытесняются живые формы, если и говорить о технических изобретениях - то не для передачи их в руки людей. понятие жизнь и понятие человеческая жизнь несопоставимы.
     
     
  • 6.70, iZEN (ok), 09:41, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вы считаете, горящие фитили на свечках и костры инквизиций помогут сделать нашу жизнь ярче и светлее, не вытесняя жизни?
     
     
  • 7.73, Аноним (-), 20:11, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    догма всегда будет довлеть над якобы свободными умами, чистое сознание находится вне эгрегора, ему не нужны плоды технического прогресса, страхов и боли тоже не испытывает, находится в "стазисе", никуда не стремится, восточный тип.
     
  • 2.43, DmA (??), 11:25, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > После таких новостей перешёл на огнелис квантум и проблем не знаю.

    Мне кажется ты просто не хочешь замечать проблемы!

     
  • 2.53, Аноним (-), 14:03, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Можно подумать, там что-то другое в каталоге дополнений. Теперь ещё и портирование малвари с хромого облегчили.
     
  • 2.64, iZEN (ok), 18:11, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > После таких новостей перешёл на огнелис квантум и проблем не знаю.

    Теперь ты под ещё более точным прицелом глаз хакеров.

     
  • 2.72, Аноним (-), 18:20, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А зря, там теперь тоже проверка не ахти и пока просто слишком мало написали, да и доля рынка теперь и впредь будет только снижаться.
     

  • 1.5, Antal Mykola (?), 00:49, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    В опасном мире мы живем
     
     
  • 2.65, iZEN (ok), 18:16, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > В опасном мире мы живем

    И не говори. Джунгли кругом. И ты один как перст среди этого серо-бурого месива, стремящегося сначала поглотить тебя, высосать из тебя все соки и, наконец, выплюнуть тебя на обочину жизни как отработку, выхлоп машины ответов.


     

  • 1.7, хром (?), 00:59, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    вывод ? не ставить никаких дополнений
     
     
  • 2.33, dontbelieveinghosts (ok), 10:15, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • –3 +/
    в лисе это не спасет, она сама поставит тебе все что захочет, а ты даже и знать не будешь
     

  • 1.9, Аноним (-), 01:50, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    "Custom Logo for Google"
    Вот кому делать совсем уж нечего, это тем, кто установил это дополнение.
     
     
  • 2.13, angra (ok), 04:38, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да ты что. А как же еще продемонстрировать свою яркость и индивидуальность? Как еще заявить миру, что ты не такой как все, что ты не часть серой массы, а один из полумиллиона элитариев?
     
     
  • 3.19, ryoken (ok), 07:37, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Да ты что. А как же еще продемонстрировать свою яркость и индивидуальность?
    > Как еще заявить миру, что ты не такой как все, что
    > ты не часть серой массы, а один из полумиллиона элитариев?

    а нафейхоа? чем меньше про тебя знают, тем лучше.

     
  • 2.39, DmA (??), 11:11, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > "Custom Logo for Google"
    > Вот кому делать совсем уж нечего, это тем, кто установил это дополнение.

    точно, полмиллиона на Земле никчёмные бездельники.

     
     
  • 3.60, dq0s4y71 (ok), 16:18, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Подозреваю, что гораздо больше :)
     
  • 3.74, Michael Shigorin (ok), 01:12, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> "Custom Logo for Google"
    >> Вот кому делать совсем уж нечего, это тем, кто установил это
    >> дополнение.
    > точно, полмиллиона на Земле никчёмные бездельники.

    Ну и как Вы так могли про гуглоппозицию?..

     

  • 1.14, nexfwall (ok), 04:43, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > После загрузки внешнего кода дополнение выполняло проверку на предмет запуска отладочных инструментов (chrome://inspect/ и chrome://net-internals/) и если они не обнаружены запускало код в контексте браузерного дополнения.

    Так это, может это плохо что расширение имеет возможность узнавать, запущено ли окно дебага или нет?

     
  • 1.17, Джокер (?), 07:11, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > В 4х популярных дополнениях к Chrome выявлен вредоносный код

    В мире всплакнул один маленький майор.

     
     
  • 2.57, Аноним (-), 14:40, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Потому, что только в 4-х?
     

  • 1.20, Аноним (-), 08:15, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Открыл у себя список дополнений в Chrome и Firefox установлено по одному дополнению, можете догадаться по какому :).

    Мне спокойно

     
     
  • 2.35, freehck (ok), 10:58, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Открыл у себя список дополнений в Chrome и Firefox установлено по одному дополнению, можете догадаться по какому :)

    Окей, понимаю. Но скажи, в чём принципиальное отличие вот этого:

    > В дополнениях был прошит код для получения команд с внешнего сервера под видом обновления конфигурации. Фактически на машине пользователя мог быть выполнен любой JavaScript-код

    ...от того, что Mozilla обеспечила себе возможность по своей инициативе и без твоего ведома впихнуть тебе любой аддон? Буквально предыдущая новость о Firefox же.

     
     
  • 3.46, VEG (ok), 11:57, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Mozilla в принципе может любой код выполнять во время обновления.

    Некоторая стандартная функциональность браузера реализована в виде системных расширений (просто для удобства самих разработчиков), обычно их не видно в списке расширений. Но суть в том, что набор этих расширений от версии к версии меняется (потому что меняется стандартная функциональность браузера), и так было всегда. Странно, что для кого-то это сюрприз.

     
     
  • 4.48, Crazy Alex (ok), 12:43, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет. Странно, что очень малая часть функциональности оформлена в виде расширений и что они скрыты. И что их "эксперименты" очень сомнительны с точки зрения удобства и приватности пользователей.
     
  • 4.54, Аноним (-), 14:06, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Mozilla в принципе может любой код выполнять во время обновления.

    Вендопроблемы.

     

  • 1.24, Аноним (-), 08:59, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > chrome://inspect/ и chrome://net-internals/

    Срочно надо писать дополнение, которое делает вид, что эти штуки всегда открыты.

     
  • 1.28, Анониммм (?), 09:24, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вроде бы отследить кто получает профит с этой рекламы совсем не сложно, но почему-то подобное продолжается. Как минимум, рекламодателям это должно быть оч интересно.
     
     
  • 2.56, гугль (?), 14:22, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    а чего следить-то - я получаю.
    И чо?
     

  • 1.29, Аноним (-), 09:48, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Проблема конкретно в хромом или в концепции webextensions в целом?
     
     
  • 2.32, айтиспециалист (?), 10:13, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема в компутерах
     

  • 1.36, VoDA (ok), 11:02, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Мне одному кажется, что проблема в самой возможности загрузить внешние данные и запустить данные-как-код?
    Отпилить eval и тонна схожих дыр в безопасности будет закрыта.


    Подскажите, может ли "сферические приложение в вакууме" где принципиально разнесены данные и исполняемый код быть подвержено схожим проблемам?

     
     
  • 2.44, Crazy Alex (ok), 11:50, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    да какая разница, что мешает засунуть свой интерпретатор скриптов?

    юВсё равно, что запрещать запуск неподписанных исполняемых файлов - выполнить sh myscript.sh это мешает. Как лечится - смотреть линуксовые репозитории, там таких чудес как-то поменьше

     
     
  • 3.45, VoDA (ok), 11:54, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Что в Линукс репозиториях препятствует выполнению скрытых скриптов скачанных с сервера?
     
     
  • 4.49, Crazy Alex (ok), 12:46, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Открытый исходный код, самостоятельная сборка из него и контроль маинтайнеров, вестимо. Или думаете, что какие-нибудь RHEL, центось или дебиан - не интересные мишени?
     
  • 4.68, iPony (?), 06:06, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Что в Линукс репозиториях препятствует выполнению скрытых скриптов скачанных с сервера?

    Смотря про что речь.
    Если про десктоп, то принцип неуловимого Джо.
    Если про сервера, то строгий контроль.

    PS: а так да, зловредное ПО находили постфактум на ланчпаде убунтовском и в этом каталоге гномовских теми или скринсейверов (не помню точно)

    PSS: а на не официальные репы так вообще заливай без вопрос (arch aur, opensuse packman, ubuntu launchpad). Делай, например, делай этак какой-нибудь FirefoxOptimized - первые пять версий нормальных, а на следующую вставляю полезную нагрузку. Прокатит, я гарантирую.

     
  • 4.75, Michael Shigorin (ok), 01:14, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Что в Линукс репозиториях препятствует выполнению скрытых скриптов
    > скачанных с сервера?

    Например, сборка в ~чруте без сети.

     

  • 1.40, Аноним (-), 11:13, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > выявлен вредоносный код

    Не согласен. Это не вредоносный код. Он приносит пользу. Правда, одному конкретному человеку, но ведь пользу!

     
  • 1.47, Аноним (-), 12:07, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Странно, что Google Project Zero ищет сомнительные дыры в Blender и Transmission, когда у них такая помойка прямо под носом.
     
     
  • 2.55, Аноним (-), 14:08, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Странно, что Google Project Zero ищет сомнительные дыры в Blender и Transmission,
    > когда у них такая помойка прямо под носом.

    Искать мусор на помойке скучно.

     

  • 1.51, DmA (??), 13:10, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Браузер давно уже нужно написать без всякой операционной системы для отдельного компьютера, чтобы никаких кроме него файлов там в принципе не было! Тупизм конечно, но в свете последних событий нужно что-то в корне менять
     
     
  • 2.58, Garrick (?), 15:17, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так есть же уже - Chromium OS называется
     

  • 1.52, Аноним (-), 13:59, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я для банкинга в firefox создал профиль safe без плагинов (запуск через firefox -P <имя профиля>), а есть что-то подобное этому в chromium? Имеет смысл ей пользоваться.
     
     
  • 2.59, Аноним (-), 16:13, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    отдельного UNIX-пользователя создавать надо, а не профили в этих ваших броузерах
     
     
  • 3.71, КО (?), 09:44, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да, что уж там - виртуалочку. :)
     
  • 2.62, Анонимаус (?), 18:03, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    google-chrome --user-data-dir=/tmp/temp-chrome-profile
     

  • 1.69, Аноним (-), 09:36, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Давно ищу дополнение которое блокирует установку других дополнений. Есть такое, кто знает?
     
  • 1.76, Аноним (76), 00:56, 26/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Custom Logo for Google (509 тысяч пользователей)

    Всего-то полмиллиона идиотов в интернетах, я думал минимум 90%.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру