Скриншот: SwiftOnSecurity

Неизвестный злоумышленник наглядно показал, что можно проникнуть в официальный каталог расширений Google Web Store с расширением под чужим названием, с чужим логотипом — и с помощью поисковой оптимизации и ключевых слов привлечь десятки тысяч пользователей. Фальшивое расширение AdBlock Plus не имеет ничего общего с оригинальным AdBlock Plus, однако по состоянию на вечер 9 октября 2017 года его установили 37 477 пользователей, прежде чем оно привлекло внимание специалистов по безопасности SwiftOnSecurity, которые затвитили эту информацию. Только тогда Google заметила фальшивку и удалила из каталога.

Фальшивое приложение находилось в каталоге как минимум две недели. По крайней мере, первые отзывы датируются 26 сентября 2017 года. Как видно на скриншоте, пользователи жалуются, что сразу после установки в браузере появилась посторонняя реклама и начали произвольно открываться новые вкладки.


Скриншот: SwiftOnSecurity

Судя по всему, злоумышленники основательно подошли к раскрутке нового расширения. У него достойный рейтинг в четыре звезды при 158 оценках. Вряд ли настоящие пользователи ставили фальшивке высокие оценки, так что это, вероятно, искусственная накрутка. С первого взгляда фальшивку тяжело распознать: количество установок велико, рейтинг высокий, число отзывов больше сотни, название разработчика — "Adblock Plus". В общем, аферисты грамотно сработали.

Если даже допустить, что расширения принимают в Web Store без тщательной модерации, то вполне логично со стороны Google сделать хотя бы автоматическую проверку на одинаковые названия расширений. По идее, если в каталог пытается проникнуть расширение с чужим названием, то его следует блокировать без обсуждений. Тем более если название совпадает с другим расширением из числа самых популярных. В качестве компромиссного решения можно предложить блокировать расширения, названия которых совпадают с названиями 100 самых популярных расширений в каталоге.

Такая же проблема с приложениями в Google App Store, там логично было бы расширить лимит на дубли в названиях на 1000 приложений, то есть по 100 в каждой категории. Так сказать, «элитные» приложения и расширения, на которых распространяется автоматическая «защита бренда». Дело ведь не в защите интеллектуальной собственности, а в защите пользователей, которые ищут приложения и расширения по известным названиям — и могут стать жертвами мошенников, продвигающих вредоносные программы по этим ключевым словам.

Даже простая блокировка по названиям очистит Google Web Store от множества «левых» расширений. Сейчас там десятки «блокировщиков рекламы», которые совершенно ничего не блокируют или просто заменяют одну рекламу на другую, но при этом имеют в названии слова "AdBlock" или "uBlock" (или даже оба этих слова, для надёжности).



Ещё одна потенциальная дыра в системе расширений для браузера Chrome — то, что пользователь не имеет возможности отключить автоматическое обновление уже установленных расширений. Так что даже приличное и добропорядочное расширение после обновления может превратиться в рекламный распространитель спама. Говорят, некоторые разработчики даже зарабатывают на этом: они создают какое-нибудь полезное расширение, набирают пользовательскую базу — а затем продают его.

В нынешней истории создателям оригинального AdBlock Plus не позавидуешь. В отличие от конкурента uBlock, разработчики AdBlock Plus и так ведут сомнительный бизнес, принимая оплату от сайтов, которые хотят включить себя в «белый список», где не блокируется реклама. То есть у AdBlock Plus и так была подмоченная репутация, а сейчас она ещё сильнее ухудшилась по чужой вине. Многие обманутые пользователи высказывают своё недовольство в комментариях именно к оригинальному AdBlock Plus, хотя тот не имеет никакого отношения к этой афере.

В 2015 году Google заблокировала простую установку расширений Chrome с посторонних сайтов. Осталась возможность установки только из официального каталога, остальным расширениям требуется специальное разрешение. Причиной тогда называли именно защиту пользователей от вредоносных расширений, и эта мера действительно имела эффект. Но сейчас мы видим, что злоумышленники сумели приспособиться — и нашли способы проникнуть в официальный каталог. Более того, они нашли способы обманным путём получать разрешение на установку вредоносных расширений с посторонних сайтов. Так было в случае хитроумной фишинговой атаки со скрытой установкой вредоносного расширения под названием "Google Docs" от «Евгения Пупова».

Комментарии (28)


  1. korobkov-k
    10.10.2017 12:59
    +2

    Да, всегда так было и видимо так и будет. Можно залить обфусцированый код и запросить кучу доступа ко всему, гугл будет около месяца делать вид, что проверяет и в итоге он пройдет. И каждое ваше обновление также будет проходить месяц, даже интервалы по времени могут совпадать, что-то окола трех недель ровно.


    1. Dmitry_7
      10.10.2017 15:27
      +2

      При этом порядочных людей банят направо и налево


      1. MatiasGray
        10.10.2017 21:21
        -1

        Предлагаю порядочным людям поступать так же: обфусцировать, требовать много доступа. Если способ работает — зачем что-то выдумывать другое? :D


  1. Kulver_stukas
    10.10.2017 13:29
    +3

    Ага, так вот кто открывает Казино Вулкан у меня в браузере!


    1. Dmitry_7
      10.10.2017 15:28

      Кстати, как бы заблокировать баннеры на р*трекере? Адблок плюс с ними в преступном сговоре, похоже


      1. Kulver_stukas
        10.10.2017 15:31
        -1

        Adblock Pro?


      1. sumanai
        10.10.2017 15:32
        +4

        uBlock Origin?


        1. master65
          10.10.2017 15:34

          да


        1. NLO
          10.10.2017 16:57

          НЛО прилетело и опубликовало эту надпись здесь


          1. sumanai
            10.10.2017 17:23

            1.14.10 не помечен, в отличии от трёх десятков других моих дополнений.


            1. NLO
              10.10.2017 17:26

              НЛО прилетело и опубликовало эту надпись здесь


              1. sumanai
                10.10.2017 17:45

                1. NLO
                  10.10.2017 17:54

                  НЛО прилетело и опубликовало эту надпись здесь


                  1. sumanai
                    10.10.2017 18:10

                    Я знаю, но ваш давно прекратил развитие.


                    1. sumanai
                      10.10.2017 21:32
                      +6

                      Поговорил с НЛО называется.


      1. Calc
        10.10.2017 16:13

        Есть еще в природе adguard.
        если ставить все 4 штуки (см другие комменты), получается убойная, но тормозная штука.


      1. LoadRunner
        10.10.2017 17:06
        +1

        У нормального блокировщика должна быть фича кастомной блокировки — обычно правым кликом «Заблокировать элемент» решается.

        Лично я пользуюсь Stop Reclame.


        1. sumanai
          10.10.2017 17:24

          Для грамотного составления правила нужно немного понимать работу веба, а это доступно далеко не всем. Просто выбирая элемент мышью выходит либо блокировка элемента на конкретной странице и его появления после перехода на другую, или слишком общее правило, ломающее сайт.


      1. DistortNeo
        10.10.2017 20:02

        Так добавьте фильтры элементов вручную.


      1. ni4to
        11.10.2017 07:20

        Необходим лишь Element Hiding Helper для Adblock Plus всё от того камрада Wladimir Palant. У него всё продумано, никаких сговоров.


        1. DistortNeo
          11.10.2017 21:13

          Проблема в том, что он есть только для Firefox. Впрочем, я им и пользуюсь, поэтому и не испытываю проблем с кастомными фильтрами. Более того, я в принципе не использую готовые списки (они слишком большие, из-за чего адблоки тормозят), вместо них всего пара сотен правил, которые полностью удовлетворяют мои нужды.


      1. medwed_1
        12.10.2017 11:39

        Не в целях рекламы, но на хабре или на гт был пост о блокировщике, который написал один из пользователей. Я с тех пор только им и пользуюсь. Называется Stop Reclame. Единственный минус был — на слабом нетбуке грузит процессор, но там я и не надеюсь на быструю работу чего нибудь=)


  1. ReakTiVe-007
    10.10.2017 14:00

    В 2015 году Google заблокировала простую установку расширений Chrome с посторонних сайтов.

    После этого вырезал из гугла средства обновления и все устраивало, кроме ожидания входа в браузер по минуте. через год перешел на вивальди, хоть грузится немного быстрее.


  1. Germanets
    10.10.2017 17:07
    +1

    Хорошо, что злоумышленники действовали настолько явно, что всего-то через 40к установок приложение заблокировали… А могли бы тихими сливами статистик\паролей заняться…


  1. SopaXT
    10.10.2017 17:58

    SwiftOnSecurity — не фирма, а твиттер-аккаунт, пародия на Taylor Swift.


  1. svoyak
    10.10.2017 22:44
    +2

    Странно, что прошел мимо новостей факт о приложении «Вайбер» в GooglePlay с 2 млн скачиваний.


  1. FibYar
    11.10.2017 07:20

    А ещё замечал, что в PlayMarket в результатах поиска не показываются приложения, которые якобы не поддерживаются устройством. В итоге поиск какой-нибудь популярной игрушки гарантированно приводит пользователя к подражателям/мошенникам.


  1. Diversant616
    11.10.2017 10:55
    +1

    Мне понравился AdNauseam. В некотором смысле символично, что гугл его забанил. Хотя там и другая причина.