Google
внезапно удалил более 500 расширений Chrome из своего интернет-магазина,
которые, как обнаружили исследователи, крадут данные о просмотрах и совершают
мошеннические клики и прокручивают вредоносную рекламу после установки на
компьютеры миллионов пользователей.
В
зависимости от того, как вы на это смотрите, это либо хороший результат, потому
что они больше не могут свободно заражать пользователей, либо пример того, как
легко вредоносным расширениям проникать в Интернет-магазин и оставаться там
годами, не замеченные Google.
Их
вообще заметили благодаря исследователю Джамиле Кайя, который использовал
инструмент CRXcavator от Duo Security (также доступен на CRXcavator.io), чтобы
обнаружить несколько расширений, которые казались подозрительными, в основном
тематические связанные с маркетингом и
рекламой.
Обнаружение
хитрых расширений было только началом - ей все еще приходилось связывать их
друг с другом, чтобы раскрыть повторяющиеся паттерны, которые могут выделить
других киберпреступников.
Первой
наградой было то, что код расширения часто выглядел как копии друг друга,
несмотря на небольшие изменения в именах внутренних функций, призванных скрыть
это.
Другим
тревожным сходством было количество запрошенных разрешений. Достаточно, чтобы
позволить им получить доступ к данным просмотра и запускать при посещении
веб-сайтов с использованием HTTPS.
Работая
с Duo Security, они в итоге определили 70 расширений, которые, казалось, были
связаны друг с другом. Все они также связывались с аналогичными сетями
командования и управления, похоже, были разработаны для обнаружения и
противодействия анализу в песочнице.
Мошенничество
с рекламой было самой большой проблемой - связывание доменов без уведомления
пользователя, а также перенаправление пользователей на вредоносные и фишинговые
домены.
Рис.1
Может ли
быть хуже?
Многие
из расширений были активны в течение почти года, с подтверждением, что
некоторые были намного дольше.
Google
провела собственную «дактилоскопию», основанную на исследовании, и число
сомнительных расширений превысило 500.
Позже
Google резюмировал:
Мы
регулярно проводим проверки, чтобы найти расширения, использующие аналогичные
методы, код и поведение, и удаляем эти расширения, если они нарушают наши
правила.
Расширения,
обнаруженные Duo Security и Kaya, были установлены в общей сложности 1,7 миллиона
раз.
Интернет-магазин
Google Chrome насчитывает около 190 000 расширений, что позволяет оценить 500
сомнительных расширений. Тем не менее, согласно отчету Extension Monitor в
августе прошлого года, три четверти из них имеют от нуля до нескольких установок.
Возможно,
само число является частью проблемы. Вредоносные расширения содержат большое
количество неиспользуемого программного обеспечения, в котором можно
спрятаться.
Firefox Mozilla
столкнулся с той же проблемой в меньшем масштабе, поскольку недавно он запретил
197 рискованных расширений и напомнил всем, что он больше не допускает
расширения, выполняющие удаленный код.
Любой,
кто использует одно из уже приостановленных 500 расширений, обнаружит, что они
автоматически отключены в своем браузере с предупреждениями, помечающими их как
вредоносные. Однако деинсталляция должна выполняться со стороны пользователя.
Урок
состоит не в том, чтобы предполагать, что расширение размещено в официальном
интернет-магазине, что означает, что его можно безопасно использовать.
Лучший
совет:
Установите
как можно меньше расширений и, несмотря на вышесказанное, только из официальных
интернет-магазинов.
Проверьте
отзывы и отзывы от других, кто установил расширение.
Обратите
внимание на репутацию разработчика и на то, насколько он отзывчив на вопросы и
как часто они публикуют обновления версий.
Изучите
запрашиваемые разрешения (в Chrome, «Настройки»> «Расширения»>
«Подробности») и убедитесь, что они соответствуют функциям расширения. И если
эти разрешения меняются, будьте внимательны.
Предупреждение:
Вся информация представлена исключительно в образовательных целях.
Комментариев нет:
Отправить комментарий