URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 113322
[ Назад ]
Исходное сообщение
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено opennews , 17-Янв-18 00:15 
Исследователи из компании ICEBRG выявили (https://www.icebrg.io/blog/malicious-chrome-extensions-enabl...)  четыре дополнения к Google Chrome, в которых присутствовали вредоносные вставки, позволяющие выполнять в браузере произвольный код, загружаемый со сторонних сайтов. Аудитория одного из проблемных дополнений насчитывает 509 тысяч пользователей.

Компания ICEBRG  была привлечена для  разбора причин появления аномального трафика с рабочих станций одного из клиентов. В результате проведённого исследования было определено, что причиной данного трафика являются четыре дополнения, представленные в каталоге Chrome Web Store: Nyoogle - Custom Logo for Google (509 тысяч пользователей), Lite Bookmarks, Change HTTP Request Header (14 тысяч),  и Stickies - Chrome's Post-it Notes (21 тысяча).


В дополнениях был прошит код для получения команд с внешнего сервера под видом обновления конфигурации. Фактически на машине пользователя мог быть выполнен любой  JavaScript-код, но на практике была зафиксирована только активность, связанная с накруткой кликов на баннеры в рекламных сетях. Код передавался в закамуфлированном виде в составе отдаваемого внешним сервером  JSON-блока с данными. Для обхода Content Security Policy (CSP) дополнениями запрашивались полномочия "unsafe-eval". После загрузки внешнего кода дополнение выполняло проверку на предмет запуска отладочных инструментов (chrome://inspect/ и chrome://net-internals/) и если они не обнаружены запускало код в контексте браузерного дополнения.


Для запутывания следов в одном из дополнений выполнение вредоносного кода осуществлялось при помощи модифицированной библиотеки  jQuery, метод  ajax() в которой был изменён для подмены MIME-типа с  "text" на "script" в случае наличия в данных строки "\\\==". Выявленные экземпляры загружаемого вредоносного кода осуществляли создание туннеля к внешнему серверу при помощи WebSocket. Данный туннель использовался в качестве прокси для перенаправления трафика через компьютер пользователя, установившего вредоносное дополнение. Перенаправляемый трафик был связан с загрузкой различных рекламных служб, для которых был организован процесс совершения подставных кликов с системы пользователя.

URL: https://www.icebrg.io/blog/malicious-chrome-extensions-enabl...
Новость: http://www.opennet.dev/opennews/art.shtml?num=47919

Содержание
Сообщения в этом обсуждении
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Аноним , 17-Янв-18 00:15 
Только в четырёх? Что-то они плохо искали.
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено angra , 17-Янв-18 04:30 
Ну так они и не делали анализ всех существующих дополнений вообще, а только тех, что были установлены у конкретного юзера.
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено dtjty , 17-Янв-18 10:01 
В четырех вредоносных приложениях обнаружен Chrome.
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено А , 17-Янв-18 00:27 
После таких новостей перешёл на огнелис квантум и проблем не знаю.
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено pike , 17-Янв-18 00:30 
я тоже думаю: лучше, когда родной браузер и по-тихому, нежели неизвестно кто, да ещё и слово-то какое подобрали "вредоносный" - нет бы как у людей: "экспериментальная фича"
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Аноним , 17-Янв-18 05:51 
Как это решает вопрос с безопасностью плагинов?
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Grammar , 17-Янв-18 06:23 
В Firefox Quantum их значительно меньше)
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Роскомпозор , 17-Янв-18 08:47 
вообщем никак кроме инфантильной "веры"
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Анониммм , 17-Янв-18 09:22 
Другого решения вопросов безопасности пока не придумали.
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Аноним , 17-Янв-18 12:49 
Вообще не знаю как сейчас, а до недавнего времени Mozilla проверяла параноидально все дополнения вручную (человеками). И не то что вредоносные, а просто не правильно работающие не пропускала.
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено ыы , 17-Янв-18 08:23 
Вы были одним из тех..оригиналов...установивших себе Custom Logo for Google ? :)
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено DmA , 17-Янв-18 11:10 
Firefox -это явно не гарантия отсутствия проблем. В сфере ИБ даже такие давно незыблеммые аксиомы оказались под ударом : чипокалипсис(процессоры Intel,AMD и ARM) и WPA2. Фактически оптимальнее не подходить к компьютеру и телефону до конца этого года как минимум, а потом уже выкинуть этот комп и телефон и купить что-нибудь новенькое без известных проблем в безопаности.
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Аноним , 17-Янв-18 17:31 
> выкинуть этот комп и телефон и купить что-нибудь новенькое без известных проблем в безопаности.

брёвен на сруб, парусину для мельницы, двустволку

"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено iZEN , 17-Янв-18 18:06 
Ну зачем так категорично?

Взять книги по физике и математике. Изучить, какие проблемы не решены, какие теоремы не доказаны. Ручку и блокнот в руки, включаете мозг и вперёд - решать задачи. Человечество это оценит, а не то, что вы там по интернетам всяким дырявым лазаете.

"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Аноним , 17-Янв-18 18:31 
физика с математикой враждебны этой жизни, в мире, где пластик и нефтепродукты встроены в пищевую цепочку, вытесняются живые формы, если и говорить о технических изобретениях - то не для передачи их в руки людей. понятие жизнь и понятие человеческая жизнь несопоставимы.
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено iZEN , 18-Янв-18 09:41 
Вы считаете, горящие фитили на свечках и костры инквизиций помогут сделать нашу жизнь ярче и светлее, не вытесняя жизни?
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Аноним , 18-Янв-18 20:11 
догма всегда будет довлеть над якобы свободными умами, чистое сознание находится вне эгрегора, ему не нужны плоды технического прогресса, страхов и боли тоже не испытывает, находится в "стазисе", никуда не стремится, восточный тип.
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено DmA , 17-Янв-18 11:25 
> После таких новостей перешёл на огнелис квантум и проблем не знаю.

Мне кажется ты просто не хочешь замечать проблемы!

"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Аноним , 17-Янв-18 14:03 
Можно подумать, там что-то другое в каталоге дополнений. Теперь ещё и портирование малвари с хромого облегчили.
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено iZEN , 17-Янв-18 18:11 
> После таких новостей перешёл на огнелис квантум и проблем не знаю.

Теперь ты под ещё более точным прицелом глаз хакеров.

"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Аноним , 18-Янв-18 18:20 
А зря, там теперь тоже проверка не ахти и пока просто слишком мало написали, да и доля рынка теперь и впредь будет только снижаться.
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Antal Mykola , 17-Янв-18 00:49 
В опасном мире мы живем
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено iZEN , 17-Янв-18 18:16 
> В опасном мире мы живем

И не говори. Джунгли кругом. И ты один как перст среди этого серо-бурого месива, стремящегося сначала поглотить тебя, высосать из тебя все соки и, наконец, выплюнуть тебя на обочину жизни как отработку, выхлоп машины ответов.


"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено хром , 17-Янв-18 00:59 
вывод ? не ставить никаких дополнений
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено dontbelieveinghosts , 17-Янв-18 10:15 
в лисе это не спасет, она сама поставит тебе все что захочет, а ты даже и знать не будешь
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Аноним , 17-Янв-18 01:50 
"Custom Logo for Google"
Вот кому делать совсем уж нечего, это тем, кто установил это дополнение.
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено angra , 17-Янв-18 04:38 
Да ты что. А как же еще продемонстрировать свою яркость и индивидуальность? Как еще заявить миру, что ты не такой как все, что ты не часть серой массы, а один из полумиллиона элитариев?
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено ryoken , 17-Янв-18 07:37 
> Да ты что. А как же еще продемонстрировать свою яркость и индивидуальность?
> Как еще заявить миру, что ты не такой как все, что
> ты не часть серой массы, а один из полумиллиона элитариев?

а нафейхоа? чем меньше про тебя знают, тем лучше.

"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено DmA , 17-Янв-18 11:11 
> "Custom Logo for Google"
> Вот кому делать совсем уж нечего, это тем, кто установил это дополнение.

точно, полмиллиона на Земле никчёмные бездельники.

"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено dq0s4y71 , 17-Янв-18 16:18 
Подозреваю, что гораздо больше :)
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Michael Shigorin , 19-Янв-18 01:12 
>> "Custom Logo for Google"
>> Вот кому делать совсем уж нечего, это тем, кто установил это
>> дополнение.
> точно, полмиллиона на Земле никчёмные бездельники.

Ну и как Вы так могли про гуглоппозицию?..

"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено nexfwall , 17-Янв-18 04:43 
> После загрузки внешнего кода дополнение выполняло проверку на предмет запуска отладочных инструментов (chrome://inspect/ и chrome://net-internals/) и если они не обнаружены запускало код в контексте браузерного дополнения.

Так это, может это плохо что расширение имеет возможность узнавать, запущено ли окно дебага или нет?

"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Джокер , 17-Янв-18 07:11 
> В 4х популярных дополнениях к Chrome выявлен вредоносный код

В мире всплакнул один маленький майор.

"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Аноним , 17-Янв-18 14:40 
Потому, что только в 4-х?
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Аноним , 17-Янв-18 08:15 
Открыл у себя список дополнений в Chrome и Firefox установлено по одному дополнению, можете догадаться по какому :).

Мне спокойно

"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено freehck , 17-Янв-18 10:58 
> Открыл у себя список дополнений в Chrome и Firefox установлено по одному дополнению, можете догадаться по какому :)

Окей, понимаю. Но скажи, в чём принципиальное отличие вот этого:

> В дополнениях был прошит код для получения команд с внешнего сервера под видом обновления конфигурации. Фактически на машине пользователя мог быть выполнен любой JavaScript-код

...от того, что Mozilla обеспечила себе возможность по своей инициативе и без твоего ведома впихнуть тебе любой аддон? Буквально предыдущая новость о Firefox же.

"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено VEG , 17-Янв-18 11:57 
Mozilla в принципе может любой код выполнять во время обновления.

Некоторая стандартная функциональность браузера реализована в виде системных расширений (просто для удобства самих разработчиков), обычно их не видно в списке расширений. Но суть в том, что набор этих расширений от версии к версии меняется (потому что меняется стандартная функциональность браузера), и так было всегда. Странно, что для кого-то это сюрприз.

"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Crazy Alex , 17-Янв-18 12:43 
Нет. Странно, что очень малая часть функциональности оформлена в виде расширений и что они скрыты. И что их "эксперименты" очень сомнительны с точки зрения удобства и приватности пользователей.
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Аноним , 17-Янв-18 14:06 
> Mozilla в принципе может любой код выполнять во время обновления.

Вендопроблемы.

"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Аноним , 17-Янв-18 08:59 
> chrome://inspect/ и chrome://net-internals/

Срочно надо писать дополнение, которое делает вид, что эти штуки всегда открыты.

"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Анониммм , 17-Янв-18 09:24 
Вроде бы отследить кто получает профит с этой рекламы совсем не сложно, но почему-то подобное продолжается. Как минимум, рекламодателям это должно быть оч интересно.
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено гугль , 17-Янв-18 14:22 
а чего следить-то - я получаю.
И чо?
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Аноним , 17-Янв-18 09:48 
Проблема конкретно в хромом или в концепции webextensions в целом?
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено айтиспециалист , 17-Янв-18 10:13 
Проблема в компутерах
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено VoDA , 17-Янв-18 11:02 
Мне одному кажется, что проблема в самой возможности загрузить внешние данные и запустить данные-как-код?
Отпилить eval и тонна схожих дыр в безопасности будет закрыта.


Подскажите, может ли "сферические приложение в вакууме" где принципиально разнесены данные и исполняемый код быть подвержено схожим проблемам?

"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Crazy Alex , 17-Янв-18 11:50 
да какая разница, что мешает засунуть свой интерпретатор скриптов?

юВсё равно, что запрещать запуск неподписанных исполняемых файлов - выполнить sh myscript.sh это мешает. Как лечится - смотреть линуксовые репозитории, там таких чудес как-то поменьше

"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено VoDA , 17-Янв-18 11:54 
Что в Линукс репозиториях препятствует выполнению скрытых скриптов скачанных с сервера?
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Crazy Alex , 17-Янв-18 12:46 
Открытый исходный код, самостоятельная сборка из него и контроль маинтайнеров, вестимо. Или думаете, что какие-нибудь RHEL, центось или дебиан - не интересные мишени?
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено iPony , 18-Янв-18 06:06 
> Что в Линукс репозиториях препятствует выполнению скрытых скриптов скачанных с сервера?

Смотря про что речь.
Если про десктоп, то принцип неуловимого Джо.
Если про сервера, то строгий контроль.

PS: а так да, зловредное ПО находили постфактум на ланчпаде убунтовском и в этом каталоге гномовских теми или скринсейверов (не помню точно)

PSS: а на не официальные репы так вообще заливай без вопрос (arch aur, opensuse packman, ubuntu launchpad). Делай, например, делай этак какой-нибудь FirefoxOptimized - первые пять версий нормальных, а на следующую вставляю полезную нагрузку. Прокатит, я гарантирую.

"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Michael Shigorin , 19-Янв-18 01:14 
> Что в Линукс репозиториях препятствует выполнению скрытых скриптов
> скачанных с сервера?

Например, сборка в ~чруте без сети.

"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Аноним , 17-Янв-18 11:13 
> выявлен вредоносный код

Не согласен. Это не вредоносный код. Он приносит пользу. Правда, одному конкретному человеку, но ведь пользу!

"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Аноним , 17-Янв-18 12:07 
Странно, что Google Project Zero ищет сомнительные дыры в Blender и Transmission, когда у них такая помойка прямо под носом.
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Аноним , 17-Янв-18 14:08 
> Странно, что Google Project Zero ищет сомнительные дыры в Blender и Transmission,
> когда у них такая помойка прямо под носом.

Искать мусор на помойке скучно.

"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено DmA , 17-Янв-18 13:10 
Браузер давно уже нужно написать без всякой операционной системы для отдельного компьютера, чтобы никаких кроме него файлов там в принципе не было! Тупизм конечно, но в свете последних событий нужно что-то в корне менять
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Garrick , 17-Янв-18 15:17 
Так есть же уже - Chromium OS называется
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Аноним , 17-Янв-18 13:59 
Я для банкинга в firefox создал профиль safe без плагинов (запуск через firefox -P <имя профиля>), а есть что-то подобное этому в chromium? Имеет смысл ей пользоваться.
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Аноним , 17-Янв-18 16:13 
отдельного UNIX-пользователя создавать надо, а не профили в этих ваших броузерах
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено КО , 18-Янв-18 09:44 
Да, что уж там - виртуалочку. :)
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Анонимаус , 17-Янв-18 18:03 
google-chrome --user-data-dir=/tmp/temp-chrome-profile
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Аноним , 18-Янв-18 09:36 
Давно ищу дополнение которое блокирует установку других дополнений. Есть такое, кто знает?
"В четырёх популярных дополнениях к Chrome выявлен вредоносны..."
Отправлено Аноним , 26-Янв-18 00:56 
>Custom Logo for Google (509 тысяч пользователей)

Всего-то полмиллиона идиотов в интернетах, я думал минимум 90%.