r   e   k   l   a   m   a
r   e   k   l   a   m   a

130 tys. osób padło ofiarą złośliwych rozszerzeń z „bezpiecznego” sklepu Chrome

Strona główna AktualnościBEZPIECZEŃSTWO

Instalowanie rozszerzeń z Chrome Web Store miało dawać użytkownikom gwarancję, że nic im się złego nie stanie. Wierząc w to, Google zablokowało dwa lata temu w swojej przeglądarce możliwość instalowania ich z innych źródeł. Nieraz już jednak słyszeliśmy o uzłośliwionych rozszerzeniach, które do sklepu trafiały, czyniąc szkody tym, którzy radośnie kliknęli niebieski przycisk Dodaj do Chrome. Coraz bardziej oczywiste jest to, że rozszerzeń nikt przed dodaniem do sklepu nie kontroluje, a zagrożenia usuwane są dopiero wtedy, gdy już swoje zrobią. Dowodem na ten stan rzeczy jest choćby historia Maxime Kjaer, studenta informatyki z Danii, który odkrył cały zestaw złośliwych rozszerzeń Chrome, przeznaczonych głównie do wykradania kont na Facebooku.

Do odkrycia złośliwych rozszerzeń doszło przypadkiem – Maxime Kjaer zauważył, że jeden z jego znajomych regularnie udostępnia na Facebooku dość dziwne, erotycznie nacechowane linki, coś w stylu „jak dobrze całować”. Treść była raczej prymitywna, linki takie miały około 900 polubień, żadnych komentarzy, a emitująca je strona sama miała może 30 polubień. Co ciekawe, strona ta publikowała ten sam wpis po kilkanaście razy.

Duńczyk w końcu zdecydował się kliknąć w jeden z linków. Ten poprowadził do strony zawierającej komunikat o tym, że treść przeznaczona jest „tylko dla dorosłych” i aby przejść dalej, należy zweryfikować wiek. Jak to zrobić? No cóż, instalując rozszerzenie Chrome o nazwie Viral Content Age Verify. Biorąc pod uwagę takie czynniki jak poziom zainteresowania przeciętnego internauty erotycznymi treściami, wiara w to, że dostęp do erotycznych treści powinien być ograniczony do osób dorosłych, oraz zaufanie przeciętnego internauty do oficjalnego katalogu rozszerzeń – można sądzić, że tego typu metoda zachęcenia do instalacji rozszerzenia okazała się skuteczna w niejednym przypadku.

r   e   k   l   a   m   a

I faktycznie, tych przypadków było sporo. Wydawca, który weryfikacyjne rozszerzenie umieścił w Chrome Web Store, był też dostawcą ośmiu innych rozszerzeń, o nazwach takich jak Content Age Verify, Restricted Content Verificiation czy Age Bypass for YouTube. Łącznie korzystało z nich ponad 130 tysięcy osób. Jeśli jednak bardziej poszperać w Chrome Web Store, okazuje się, że w sklepie znalazły się też rozszerzenia innych wydawców, o niemal identycznych nazwach, rozmiarach i zastosowaniach – więc realna skala tej operacji mogła być znacznie większa.

Duński student pobrał rozszerzenie, by wziąć je bliżej pod lupę. Już pierwszy rzut oka w manifest pokazał, że chce ono mieć pełen dostęp do praktycznie wszystkich danych ze wszystkich witryn. Do tego uruchamia sobie w tle jednocześnie trzy skrypty. Pierwszy banalny – otwiera wyskakujące okienko, w którym internauta ma podać datę urodzin, a następnie kliknąć przycisk Verify. Weryfikacja jest jednak tylko makietą, cokolwiek się jednak nie wpisze, zwróci napis „Loading...” a potem „Done”.

Drugi skrypt to nic ciekawego, służył do parsowania ciągów zmiennych w adresach URL, ale trzeci skrypt nawet nie próbował ukryć, tego co robi – pobierania złośliwego ładunku z zewnętrznego serwera, którego adres został wpisany na stałe. Malware zostaje pobrane, zapisane w pamięci podręcznej przeglądarki i uruchomione. Możliwości są całkiem typowe – komunikacja z serwerem dowodzenia i kontroli, wykradanie tokenów logowania do serwisów internetowych, lubienie stron na Facebooku, subskrybowanie kanałów YouTube i wyczekiwanie na nowe wersje skryptu. Można więc powiedzieć, że to uniwersalny szkodnik, wypełniający wszystkie rozkazy swojego botmastera.

Kjaer nie czekał na reakcje Google. Po zgłoszeniu rozszerzeń sam znalazł sposób na likwidację botnetu. Ten nie był przecież dobrze zabezpieczony – wystarczyło zlikwidować serwery dowodzenia i kontroli, działające pod wskazanymi w skrypcie adresami IP, by uczynić te wszystkie złośliwe rozszerzenia nieszkodliwymi. A że serwery były hostowane w szybko reagującej w takich sprawach firmie DigitalOcean, nie minęło wiele czasu do ich wyłączenia.

Młody badacz zaproponował też zmiany, które wszechmocne Google mogłoby wprowadzić w sklepie z rozszerzeniami dla swojej przeglądarki: po pierwsze ręczną weryfikację rozszerzeń, a jeśli to niemożliwe, przynajmniej weryfikowanie reputacji wydawców. Po drugie, wyróżnienie rozszerzeń opensource’owych, pochodzących z wiarygodnych źródeł (np. mających swoje repozytoria na GitHubie).

Obecnie bowiem sytuacja jest tragiczna – z jednej strony Google obiecuje warte dziesiątki tysiący dolarów nagrody za znalezienie luk w samej przeglądarce, z drugiej dopuszcza rozszerzenia, które te wszystkie zabezpieczenia po prostu obchodzą społeczną inżynierią. W tym wypadku ofiarami padło ponad 130 tysięcy osób. Ile jeszcze takich złośliwych rozszerzeń w Chrome Web Store pozostało? Ile jeszcze się pojawi?

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.