130 tys. osób padło ofiarą złośliwych rozszerzeń z „bezpiecznego” sklepu Chrome

130 tys. osób padło ofiarą złośliwych rozszerzeń z „bezpiecznego” sklepu Chrome19.07.2016 21:01

Instalowanie rozszerzeń z Chrome Web Store miało dawaćużytkownikom gwarancję, że nic im się złego nie stanie. Wierzącw to, Google zablokowałodwa lata temu w swojej przeglądarce możliwość instalowania ich zinnych źródeł. Nieraz już jednak słyszeliśmy o uzłośliwionychrozszerzeniach,które do sklepu trafiały, czyniąc szkody tym, którzy radośniekliknęli niebieski przycisk Dodaj do Chrome. Coraz bardziejoczywiste jest to, że rozszerzeń nikt przed dodaniem do sklepu niekontroluje, a zagrożenia usuwane są dopiero wtedy, gdy już swojezrobią. Dowodem na ten stan rzeczy jest choćby historia MaximeKjaer, studenta informatyki z Danii, który odkrył cały zestawzłośliwych rozszerzeń Chrome, przeznaczonych głównie dowykradania kont na Facebooku.

Do odkrycia złośliwych rozszerzeń doszło przypadkiem –Maxime Kjaer zauważył, że jeden z jego znajomych regularnieudostępnia na Facebooku dość dziwne, erotycznie nacechowane linki,coś w stylu „jak dobrze całować”. Treść była raczejprymitywna, linki takie miały około 900 polubień, żadnychkomentarzy, a emitująca je strona sama miała może 30 polubień. Co ciekawe, strona ta publikowała ten sam wpis po kilkanaście razy.

Masz skończone 18 lat? Udowodnij, instalując nasze rozszerzenie
Masz skończone 18 lat? Udowodnij, instalując nasze rozszerzenie

Duńczyk w końcu zdecydował się kliknąć w jeden z linków. Ten poprowadził do strony zawierającej komunikat o tym, że treść przeznaczona jest „tylko dla dorosłych” i aby przejść dalej, należy zweryfikować wiek. Jak to zrobić? No cóż, instalując rozszerzenie Chrome o nazwie Viral Content Age Verify. Biorąc pod uwagę takie czynniki jak poziom zainteresowania przeciętnego internauty erotycznymi treściami, wiara w to, że dostęp do erotycznych treści powinien być ograniczony do osób dorosłych, oraz zaufanie przeciętnego internauty do oficjalnego katalogu rozszerzeń – można sądzić, że tego typu metoda zachęcenia do instalacji rozszerzenia okazała się skuteczna w niejednym przypadku.

I faktycznie, tych przypadków było sporo. Wydawca, który weryfikacyjne rozszerzenie umieścił w Chrome Web Store, był też dostawcą ośmiu innych rozszerzeń, o nazwach takich jak Content Age Verify, Restricted Content Verificiation czy Age Bypass for YouTube. Łącznie korzystało z nich ponad 130 tysięcy osób. Jeśli jednak bardziej poszperać w Chrome Web Store, okazuje się, że w sklepie znalazły się też rozszerzenia innych wydawców, o niemal identycznych nazwach, rozmiarach i zastosowaniach – więc realna skala tej operacji mogła być znacznie większa.

Cały zbiór złośliwych rozszerzeń od jednego wydawcy
Cały zbiór złośliwych rozszerzeń od jednego wydawcy

Duński student pobrał rozszerzenie, by wziąć je bliżej pod lupę. Już pierwszy rzut oka w manifest pokazał, że chce ono mieć pełen dostęp do praktycznie wszystkich danych ze wszystkich witryn. Do tego uruchamia sobie w tle jednocześnie trzy skrypty. Pierwszy banalny – otwiera wyskakujące okienko, w którym internauta ma podać datę urodzin, a następnie kliknąć przycisk Verify. Weryfikacja jest jednak tylko makietą, cokolwiek się jednak nie wpisze, zwróci napis „Loading...” a potem „Done”.

Takie cuda tylko w rozszerzeniach Chrome.
Takie cuda tylko w rozszerzeniach Chrome.

Drugi skrypt to nic ciekawego, służył do parsowania ciągów zmiennych w adresach URL, ale trzeci skrypt nawet nie próbował ukryć, tego co robi – pobierania złośliwego ładunku z zewnętrznego serwera, którego adres został wpisany na stałe. Malware zostaje pobrane, zapisane w pamięci podręcznej przeglądarki i uruchomione. Możliwości są całkiem typowe – komunikacja z serwerem dowodzenia i kontroli, wykradanie tokenów logowania do serwisów internetowych, lubienie stron na Facebooku, subskrybowanie kanałów YouTube i wyczekiwanie na nowe wersje skryptu. Można więc powiedzieć, że to uniwersalny szkodnik, wypełniający wszystkie rozkazy swojego botmastera.

Kjaer nie czekał na reakcje Google. Po zgłoszeniu rozszerzeń sam znalazł sposób na likwidację botnetu. Ten nie był przecież dobrze zabezpieczony – wystarczyło zlikwidować serwery dowodzenia i kontroli, działające pod wskazanymi w skrypcie adresami IP, by uczynić te wszystkie złośliwe rozszerzenia nieszkodliwymi. A że serwery były hostowane w szybko reagującej w takich sprawach firmie DigitalOcean, nie minęło wiele czasu do ich wyłączenia.

Młody badacz zaproponował też zmiany, które wszechmocne Google mogłoby wprowadzić w sklepie z rozszerzeniami dla swojej przeglądarki: po pierwsze ręczną weryfikację rozszerzeń, a jeśli to niemożliwe, przynajmniej weryfikowanie reputacji wydawców. Po drugie, wyróżnienie rozszerzeń opensource’owych, pochodzących z wiarygodnych źródeł (np. mających swoje repozytoria na GitHubie).

Obecnie bowiem sytuacja jest tragiczna – z jednej strony Google obiecuje warte dziesiątki tysiący dolarów nagrody za znalezienie luk w samej przeglądarce, z drugiej dopuszcza rozszerzenia, które te wszystkie zabezpieczenia po prostu obchodzą społeczną inżynierią. W tym wypadku ofiarami padło ponad 130 tysięcy osób. Ile jeszcze takich złośliwych rozszerzeń w Chrome Web Store pozostało? Ile jeszcze się pojawi?

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na