Компания Google заявила, что удалила более 70 вредоносных расширений для браузера Chrome, которые могли шпионить за пользователями. Это произошло после того, как специалисты по кибербезопасности из Awake Security обнаружили вредоносные дополнения из интернет-магазина Chrome в мае, сообщает Reuters.
В сумме удалённые шпионские надстройки для браузера были загружены пользователями более 32 миллионов раз, говорят исследователи. По их мнению, это очередное свидетельство проблемы неспособности браузеров на качественную защиту юзеров от похищения персональных данных.
Соучредитель Awake Security Гэри Голомб рассказал информагентству, что это было самое масштабное нашествие разработчиков вредоносных программ на интернет-магазин Chrome. При этом все расширения были созданы таким образом, чтобы они не обнаруживались антивирусами или встроенным в браузер ПО, оценивающим репутацию доменов, говорит специалист.
Большинство удалённых расширений распространялись бесплатно. Они предназначались либо для предупреждения пользователей о сомнительных сайтах, либо для конвертирования файлов из одного формата в другой. Вместо этого они собирали и передавали на сторонние серверы информацию о просматриваемых пользователями веб-страницах, а также данные, вводимые в разных формах на различных ресурсах.
Выяснить, кто стоял за распространением вредоносных расширений не удалось — разработчики надстроек предоставили Google «ложную контактную информацию». В Awake Security смогли найти около 15 тысяч адресов серверов, на которые передавалась информация о пользователях — они были приобретены у израильской компании Galcomm. В самой Galcomm сообщили Reuters, что не знали о том, как использовались проданные ими сервера, а компания не вовлечена ни в какую вредоносную деятельность. В Интернет-корпорации по присвоению имён и номеров (ICANN) пояснили, что на израильскую фирму за последние годы было немного жалоб, ни одна из которых не касалась распространения вредоносного ПО. Это косвенно указывает на то, что Galcomm действительно в этом не замешана, отмечает Reuters.
Google не стала комментировать произошедшее касательно масштаба ущерба и причин, по которым вредоносные расширения не были обнаружены раньше. Представители компании лишь пообещали, что в будущем техногигант учтёт этот опыт и будет использовать его «как учебный материал для улучшения наших автоматических и ручных инструментов».
StSav012
Люблю новости про популярные вещи без перечня этих самых вещей.
algotrader2013
Да пожалуйста,
тыц
Вот говняшка, которая у меня два года назад при установке отправила всю историю на сервера уродов, и еще и зароутила весь траф через mitm. При установке не возникло сомнений потому, что скачиваний 50К+ и рейтинг хороший. А схема очень простая. Находят заброшенные расширения с хорошим рейтингом и количеством инсталлов, покупают креды у автора, выпускают заряженный апдейт. Учитывая, что расширение создано для поиска в истории, то и большие запрошенные права не вызывают сомнений.
Поняв, в чем суть, зарепортил, почитал свежие отзывы. Почти все открытым текстом говорят, что malicious и dangerous, проблемы тоже описывают. Каких-то нейросетей и бигдаты не надо, чтобы понять, что тут что-то не то, и отправить индусу на проверку. Но ради интереса заходил по ссылке спустя год, — все на месте, только рейтинг потихоньку ползет вниз. После того случая удалил 80% расширений, оставив только те, где too big too fail, типа топовых банерорезок, и брендовые, вроде Grammarly где стоимость бренда велика, и репутация дороже. Хотя… вот недавно поставил небольшой удобный тул, а страшно. Никогда не знааешь, когда судьбу better history повторит, апдейтнувшись в фоне.
riky
тоже призадумался. тем более раньше находил приложения ворующие кешбеки.
можно завести 2 профиля: основной и с плагинами.
или также завести 2 профиля, но второй только для того чтобы скачивать обновления плагинов, далее комитить их в свой гит чтобы каждый раз видеть что там менялось (ну и изначально при первичном добавлении проверять). сделать там dev/prod ветки и загружать в основной профиль уже как свои из файла (не из вебстор) чтобы все было проверено. также можно обьединится с друзьями/коллегами.
при должной сноровке можно быстро проверить (а точечные обновления по diff тем более), если код запакован — то в топку вообще.
AngReload
такая же история с аддонами фуррифокса
https://addons.mozilla.org/ru/firefox/addon/yandex-music-fisher/reviews/
xcont
SaveFrom — приложение, которое добавляет зеленую кнопку «скачать» на YouTube. Полгода пользовался этим приложением, пока однажды не заметил, что uBlock блокирует запросы с пустой html-страницы. Начал выяснять, где «вирус» подцепил. Оказалось, что SaveFrom имеет недокументированные возможности — отправляет на свой сервер информацию о всех посещенный страничках.
algotrader2013
Всегда было интересно, а кто покупатель такой инфы. Знаю, что similarweb подобное скупает (или ранее скупал, а сейчас обелился, — хз). Но есть ли что-то типа маркета (DMP?), где можно купить истории браузинга конкретных людей, и о каких суммах речь?
dn842
ждем покупки фишерами ublock? :)
qark
Список доменов: awakesecurity.com/wp-content/uploads/2020/06/GalComm-Registered-Domains-List-Appendix-A.txt
Список ID расширений: awakesecurity.com/wp-content/uploads/2020/06/GalComm-Malicious-Chrome-Extensions-Appendix-B.txt
Взято из статьи Awake, на которую ссылается Reuters.