Milion użytkowników rozszerzenia Chrome dostało malware w aktualizacji ze sklepu
Ponad milion użytkowników rozszerzenia Web Developer for Chromestało się ofiarami cyberataku, który z tego co wiadomo, wyświetliłim przeróżne reklamy na przeglądanych stronach internetowych, alemógł też zrobić o wiele więcej. Sytuacja jest już opanowana,ale każe nam zapytać: dlaczego właściwie przeglądarka Chromedomyślnie ufa wszystkiemu, co Chrome Web Store jej podsyła?
The Web Developer for Chrome account has been compromised and a hacked version of the extension (0.4.9) uploaded ??
— Chris Pederick (@chrispederick) 2 sierpnia 2017Zaczęło się od Chrisa Pedericka, autora rozszerzenia, którypadł ofiarą ataku phishingowego, oddając napastnikom swoje kontoGoogle. Dysponując działającym loginem i hasłem, dostali się onido jego konta deweloperskiego i zaktualizowali jedno znajpopularniejszych rozszerzeń dla webdeweloperów (1 044 000użytkowników) do uzłośliwionej wersji 0.4.9.
Rozszerzenie to pobierało kod z należących do cyberprzestępcówserwerów i wyświetlało go w przeglądarkach użytkowników.Najwyraźniej złośliwość ograniczyła się do wyświetlaniareklam, ale zdarzyć się mogło wiele innych rzeczy. Jeśli więckorzystaliście z Web Developer for Chrome, powinniście natychmiastsprawdzić, czy macie zaktualizowaną, bezpieczną wersję 0.5.0 –a następnie unieważnić hasła i tokeny logowania używane wserwisach odwiedzanych za pomocą Chrome.
Version 0.5 of Web Developer for Chrome is now live which removes the compromised code. Please update immediately.
— Chris Pederick (@chrispederick) 2 sierpnia 2017Cały atak zajął raptem kilka godzin, ale z ponad milionemużytkowników na pewno udało się pozyskać dość wyświetleńreklam, by operacja była opłacalna. Z tego co wiemy, wersjarozszerzenia dla Firefoksa pozostała bezpieczna.
Czy można się przed tego typu atakami zabezpieczyć? Problemtkwi w automatycznym aktualizowaniu rozszerzeń. Słabym ogniwem jesttu człowiek. W tym wypadku Pederick zapomniał chyba o włączeniudwuetapowego uwierzytelniania dla swojego konta Google. Co jednak,gdyby ktoś chciał przeprowadzić operację przeciwko użytkownikomjakiegoś bardzo popularnego rozszerzenia, posuwając się do np.aktów szantażu: albo uzłośliwisz swoje rozszerzenie, albokompromitujące cię zdjęcia zostaną upublicznione.
Tego typu działania są szczególnie groźne wobec rozszerzeńtakich jak Web Developer: z samej swojej natury mają one bowiemwszystkie niezbędne uprawnienia do tego, by dowolnie modyfikowaćzawartość strony internetowej, i dlatego powinny pozostawać podszczególnym nadzorem.
