Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Adblockery ze złośliwym kodem w oficjalnym chrome web store (20 milionów instalacji!)

20 kwietnia 2018, 12:51 | W biegu | 1 komentarz

Jak najczęściej użytkownicy weryfikują dodatki do przeglądarek? Wystarczy wysoka pozycja na wyszukaniu w oficjalnym repozytorium Google do tego dobre oceny i instalujemy :)

Nie jest to najlepsze podejście, o czym przekonało się (lub przekona) około 20 milionów osób które zainstalowały jedno z rozszerzeń:

Czy ktoś zna uBlock Plus z 8 milionami instalacji?!? Nazwa wygląda jakoś znajomo? Tak, bo to „klon” znanego uBlock Origin – ale z dołączonym extra kodem…

Jak też widać, fałszywe adblokery były bardzo dobrze wypozycjonowane w chrome web store:

Co robiły podrobione pluginy – do końca nie wiadomo. Tzn. nie złapano ich na gorącym uczynku – no może poza ukrywaniem w dociąganym z zewnętrznej domeny obrazku, który zawierał javascript… ten z kolei potencjalnie mógł już robić dosłownie wszystko z przeglądarką:

The default image/script does nothing malicious, but at any moment it can be changed. Note, that this script is executed in the privileged context (extension’s background page) and it can do literally anything with your browser.

W obecnej chwili wszystkie 5 fałszywych rozszerzeń zostało usuniętych przez Google z chrome web store.

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. zero one

    Artykuł bardzo potrzebny. Zresztą jak większość na łamach „Zbrojnego Kogucika”. Przy okazji mam ochotę wlepić swoje kilka groszy „ad persona”. google to zaraza i ich twory podobnie nie wymagajmy więc nazbyt wiele od korpo-fallusów. (proszę wybaczyć słownictwo).
    P.S.
    „Zostało usuniętych…” a w czasie „ruchów” ile nastąpiło infekcji? Czyja to wina? Pieniądze łatwo się łyka ale co z jakimiś gwarancjami…Powinni „beknąć” choć zapewne 'umowy’ nie pozwolą. Przepraszam jeśli idę o krok za daleko. Jestem przeciwnikiem korporacji google i ich bełkotu „don’t be evil” o którym już jakby zapomnieli. To nie user winien weryfikować tylko maszynka do robienia pieniędzy. ODPOWIEDZIALNOŚĆ! Mam wrażenie chyba takie które czytający zechcą gdzieś „w duchu” podzielić iż płacić należy natomiast za usługi czy soft wątpliwej jakości nie za specjalnie warto. Dodajmy brak gwarancji. Oczywiście wiemy że 100% zabezpieczenie nie jest możliwe natomiast nie możemy sobie pozwolić na wieczne „strzyżenie”. Oż do jasnej cholery! ;-\ Pozdrawiam.

    Odpowiedz

Odpowiedz