The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

04.08.2017 11:49  Злоумышленники получили контроль над Chrome-дополнением с миллионной аудиторией

Продолжаются фишинг-атаки на разработчиков браузерных дополнений, проводимые с целью захвата контроля над дополнением и подстановки в него вредоносного кода, отображающего навязчивые рекламные блоки. Если первой жертвой атаки стало дополнение Copyfish с аудиторией 40 тысяч установок, то новая жертва оказалась значительно крупнее - злоумышленникам удалось получить контроль за дополнением Web Developer у которого более миллиона активных пользователей.

По сообщению автора Web Developer, он по недосмотру ввёл данные в подставную форму аутентификации Google, подготовленную организаторами фишинг-атаки. Метод проведения атаки был идентичен недавно описанной атаке на дополнение Copyfish. Разработчику также пришло письмо с уведомлением о наличии проблем с соблюдением правил каталога Chrome App Store и ссылкой на тикет с информацией по их устранению, при переходе на которую выдавалась подставная форма входа Google.

Захватив аккаунт злоумышленники сразу опубликовали новую версию Web Developer 0.4.9, в которую встроили код для подстановки своей рекламы на просматриваемые пользователем сайты. Не исключается, что дополнение могло выполнять и другие вредоносные действия, например, перехват паролей к web-сайтам (в частности, имеются подозрения на перехват параметров доступа к API Cloudflare).

Версия с вредоносным кодом распространялась в течение нескольких часов, после чего разработчик уведомил о проблеме инженеров Google, поменял параметры входа и оперативно выпустил обновление 0.5 с устранением вредоносной вставки. Для защиты от подобных фишинг-атак разработчикам дополнений рекомендуется включить в настройках двухфакторную аутентификацию (автор Web Developer её не использовал, что наряду с невнимательностью при заполнении форм оказало решающее влияние на успех проведения атаки).

  1. Главная ссылка к новости (http://chrispederick.com/blog/...)
  2. OpenNews: Фишинг-атака по захвату браузерных дополнений для встраивания в них вредоносного кода
  3. OpenNews: Новый метод фишинга с использованием unicode-символов в домене
  4. OpenNews: Уязвимость, позволяющая отобразить иной домен в адресной строке браузера
  5. OpenNews: Google начинает блокировать сайты с обманными кнопками загрузки программ
  6. OpenNews: Предложение по использованию TLD-доменов ".secure" для гарантированно защищённых ресурсов
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: chrome, phishing
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.4, Аноним, 12:28, 04/08/2017 [ответить] [смотреть все]
  • –1 +/
    Если код вставлял свою рекламу, то, по идее, не сложно должно быть выяснить для... весь текст скрыт [показать]
     
     
  • 2.8, Аноним, 12:46, 04/08/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Осталось доказать, а разумные люди вставляли бы не только свою рекламу.
     
     
  • 3.62, feudor, 14:48, 08/08/2017 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    тех кто занимается разбоем и грабежами можно как угодно назвать но только они от этого разумными не становятся.
     
  • 1.5, Аноним, 12:28, 04/08/2017 [ответить] [смотреть все]  
  • +5 +/
    Кстати, фишинг может быть правдоподобной оплаченной попыткой под дурачка закосит... весь текст скрыт [показать]
     
     
  • 2.24, рептилоид, 14:32, 04/08/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    > Кстати, фишинг может быть правдоподобной оплаченной попыткой под дурачка закосить.

    да, мы везде!

     
  • 2.36, paulus, 17:56, 04/08/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Сорри, я тут бабла и данных чуток покосил ... весь текст скрыт [показать] [показать ветку]
     
  • 1.7, Аноним, 12:42, 04/08/2017 [ответить] [смотреть все]  
  • +5 +/
    Я думаю google надо запретить публиковать дополнения тем у кого нет второго факт... весь текст скрыт [показать]
     
     
  • 2.9, Аноним, 12:51, 04/08/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    И чем тут поможет второй фактор На фишинг-страничке ещё одно поле для ввода сде... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, Аноним, 13:15, 04/08/2017 [^] [ответить] [смотреть все]  
  • +/
    Второй фактор - подтверждение СМС, не?
     
     
  • 4.15, Аноним, 13:17, 04/08/2017 [^] [ответить] [смотреть все]  
  • +/
    и ты этот код введешь на той же фишинговой странице, большое спасибо А мы тебе ... весь текст скрыт [показать]
     
     
  • 5.18, Аноним, 13:31, 04/08/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Ты этот код просто не получишь
     
     
  • 6.19, анон, 13:46, 04/08/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Почему Фишинговая форма прикручена через условный селениум к настоящей странице... весь текст скрыт [показать]
     
     
  • 7.29, анонимно, 16:04, 04/08/2017 [^] [ответить] [смотреть все]  
  • +6 +/
    Ну во первых фишинговая страничка ворующая логин с паролем это намного проще чем страничка с перенаправлением на сервер google.

    Во вторых сервер google может заартачиться

    В третьих получив доступ к аккаунту злоумышленник не сможет сменить пароль без СМСки которую уже неоткуда взять.

    Сделай google дальше загрузку обновленного ПО через подтверждение СМС и всё, атака остановлена
    (заметили что банки на транзакцию тоже СМС хотят не смотря на то что вас они по 2 фактору уже аутентифицировали)

    Человек получит сообщения что что-то не то и на его акк вошли с другого устройства и быстро поменяет пароль и остановит атаку на порядок быстрее чем это сделает техсаппорт google.

    Видите сколько неоспоримых плюсов если подумать.

     
     
  • 8.33, Аноним, 17:17, 04/08/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Злоумышленнику никто не мешает сменить привязанный телефон Выдоить из пользоват... весь текст скрыт [показать]
     
     
  • 9.40, Sasha, 19:35, 04/08/2017 [^] [ответить] [смотреть все]  
  • +/
    Для смены телефона разве не надо отправить смс на старый телефон?
     
     
  • 10.58, Аноним, 14:13, 07/08/2017 [^] [ответить] [смотреть все]  
  • +/
    При вводе кода подтверждения авторизации просто сообщаем пользователю, что код в... весь текст скрыт [показать]
     
  • 9.43, Аноним, 20:40, 04/08/2017 [^] [ответить] [смотреть все]  
  • +/
    1 От клинического случая ничего не поможет, но не думаю что это случай который ... весь текст скрыт [показать]
     
     
  • 10.55, борис эйк, 10:45, 05/08/2017 [^] [ответить] [смотреть все]  
  • +/
    ffgj... весь текст скрыт [показать]
     
  • 4.20, Ergil, 13:59, 04/08/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Не обязательно TOTP RFC 6238 у того же гугла, да вроде и железный второй фактор... весь текст скрыт [показать]
     
     
  • 5.23, Аноним, 14:29, 04/08/2017 [^] [ответить] [смотреть все]  
  • +/
    был, ubiquity, но вот в эреф ты ее попробуй-ка купи Я пытался - хрен там - ... весь текст скрыт [показать]
     
     
  • 6.30, анонимно, 16:08, 04/08/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    В РФ бери fido u2f JaCarta U2F... весь текст скрыт [показать]
     
     
  • 7.53, Kuromi, 00:12, 05/08/2017 [^] [ответить] [смотреть все]  
  • +/
    Джакарта дорогая и ненужно Проще посмотреть на амазоне там бывают недорогие ва... весь текст скрыт [показать]
     
     
  • 8.56, Аноним, 15:18, 05/08/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    а потом, приехав побухать с друзьями в LA, неожиданно присесть лет на двадцать ... весь текст скрыт [показать]
     
  • 2.13, Аноним, 13:15, 04/08/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    гуглю давно надо запретить выделываться с угрозами немедленно блокировать дополн... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.21, Ergil, 14:03, 04/08/2017 [^] [ответить] [смотреть все]  
  • +/
    Хорошо Введешь Авторизуется И тебе придет письмо 171 Вы только что залогини... весь текст скрыт [показать]
     
     
  • 4.22, Аноним, 14:28, 04/08/2017 [^] [ответить] [смотреть все]  
  • +/
    ну так ему и пришло, и он именно тогда и понял, что попал, когда ж еще А если д... весь текст скрыт [показать]
     
     
  • 5.31, анонимно, 16:10, 04/08/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну т е вы описываете уж совсем клинический случай Таких надо банить и по делом... весь текст скрыт [показать]
     
     
  • 6.41, Аноним, 19:39, 04/08/2017 [^] [ответить] [смотреть все]  
  • +/
    то есть вы никогда не опечатываетесь, ни в пароле, ни в длинной бессмысленной ст... весь текст скрыт [показать]
     
     
  • 7.44, Аноним, 20:42, 04/08/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    gt оверквотинг удален у меня есть yubico токен яжепраграммист ... весь текст скрыт [показать]
     
     
  • 8.49, Аноним, 21:30, 04/08/2017 [^] [ответить] [смотреть все]  
  • +/
    блин, ты напрограммил убико-токен А если купил - то где официальный представи... весь текст скрыт [показать]
     
  • 4.34, Аноним, 17:43, 04/08/2017 [^] [ответить] [смотреть все]  
  • +/
    Какая защита Если злоумышленник арендует хост в твоём регионе и часовом поясе, ... весь текст скрыт [показать]
     
     
  • 5.42, Злоумышленник, 19:41, 04/08/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    может мне еще и собственной кредиткой за него заплатить, чтоб совсем уж спалитьс... весь текст скрыт [показать]
     
  • 1.26, Kodir, 15:05, 04/08/2017 [ответить] [смотреть все]  
  • –1 +/
    Вот что значит неконтролируемый выход в сеть - СУДИТЬ надо  любую компанию, ПО которой вылезает в Интернет без разрешения автора.
    Если бы плагины обновлялись по желанию юзера, инфицированная база была бы стократ меньше.
     
     
  • 2.27, Anonplus, 15:24, 04/08/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Чего мелочиться - сразу расстреливать.
    Это экстремизм, батенька.
     
  • 2.28, Аноним84701, 15:40, 04/08/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    А если бы кое-кто не будем показывать пальцем на хромающего лидера и законодат... весь текст скрыт [показать] [показать ветку]
     
  • 1.47, AlexYeCu_not_logged, 21:25, 04/08/2017 [ответить] [смотреть все]  
  • +/
    ssh? Не, не слышали.
     
  • 1.54, НяшМяш, 00:48, 05/08/2017 [ответить] [смотреть все]  
  • +1 +/
    Если уж разработчики умудряются свои данные слить добровольно, то простых юзеров даже бить за это не хочется теперь.
     
  • 1.59, Аноним, 17:29, 07/08/2017 [ответить] [смотреть все]  
  • +/
    Да лаадна Быть того не могёт Дыряв только флеш Остальные нашлепки на браузеры... весь текст скрыт [показать]
     
     
  • 2.60, Аноним, 11:25, 08/08/2017 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Сарказм это низшая форма юмора.
     
     
  • 3.61, Аноним, 13:20, 08/08/2017 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Сарказм - это приём сатиры, высшая степень иронии, он вообще не свойственен юмор... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor