The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Злоумышленники получили контроль над Chrome-дополнением с миллионной аудиторией

04.08.2017 11:49

Продолжаются фишинг-атаки на разработчиков браузерных дополнений, проводимые с целью захвата контроля над дополнением и подстановки в него вредоносного кода, отображающего навязчивые рекламные блоки. Если первой жертвой атаки стало дополнение Copyfish с аудиторией 40 тысяч установок, то новая жертва оказалась значительно крупнее - злоумышленникам удалось получить контроль за дополнением Web Developer у которого более миллиона активных пользователей.

По сообщению автора Web Developer, он по недосмотру ввёл данные в подставную форму аутентификации Google, подготовленную организаторами фишинг-атаки. Метод проведения атаки был идентичен недавно описанной атаке на дополнение Copyfish. Разработчику также пришло письмо с уведомлением о наличии проблем с соблюдением правил каталога Chrome App Store и ссылкой на тикет с информацией по их устранению, при переходе на которую выдавалась подставная форма входа Google.

Захватив аккаунт злоумышленники сразу опубликовали новую версию Web Developer 0.4.9, в которую встроили код для подстановки своей рекламы на просматриваемые пользователем сайты. Не исключается, что дополнение могло выполнять и другие вредоносные действия, например, перехват паролей к web-сайтам (в частности, имеются подозрения на перехват параметров доступа к API Cloudflare).

Версия с вредоносным кодом распространялась в течение нескольких часов, после чего разработчик уведомил о проблеме инженеров Google, поменял параметры входа и оперативно выпустил обновление 0.5 с устранением вредоносной вставки. Для защиты от подобных фишинг-атак разработчикам дополнений рекомендуется включить в настройках двухфакторную аутентификацию (автор Web Developer её не использовал, что наряду с невнимательностью при заполнении форм оказало решающее влияние на успех проведения атаки).

  1. Главная ссылка к новости (http://chrispederick.com/blog/...)
  2. OpenNews: Фишинг-атака по захвату браузерных дополнений для встраивания в них вредоносного кода
  3. OpenNews: Новый метод фишинга с использованием unicode-символов в домене
  4. OpenNews: Уязвимость, позволяющая отобразить иной домен в адресной строке браузера
  5. OpenNews: Google начинает блокировать сайты с обманными кнопками загрузки программ
  6. OpenNews: Предложение по использованию TLD-доменов ".secure" для гарантированно защищённых ресурсов
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: chrome, phishing
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (41) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.4, Аноним (-), 12:28, 04/08/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Если код вставлял свою рекламу, то, по идее, не сложно должно быть выяснить (для гугла, например), кто за эту рекламу деньги получает. А тут уже и до уголовного дела не далеко.
     
     
  • 2.8, Аноним (-), 12:46, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Осталось доказать, а разумные люди вставляли бы не только свою рекламу.
     
     
  • 3.62, feudor (ok), 14:48, 08/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    тех кто занимается разбоем и грабежами можно как угодно назвать но только они от этого разумными не становятся.
     

  • 1.5, Аноним (-), 12:28, 04/08/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Кстати, фишинг может быть правдоподобной оплаченной попыткой под дурачка закосить.
     
     
  • 2.24, рептилоид (?), 14:32, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > Кстати, фишинг может быть правдоподобной оплаченной попыткой под дурачка закосить.

    да, мы везде!

     
  • 2.36, paulus (ok), 17:56, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >фишинг может быть правдоподобной оплаченной попыткой под дурачка закосить.

    Сорри, я тут бабла и данных чуток покосил :)

     

  • 1.7, Аноним (-), 12:42, 04/08/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Я думаю google надо запретить публиковать дополнения тем у кого нет второго фактора. Это будет правильное решение. Что это за разраб который не способен защитить свое приложение? В лес такого разраба
     
     
  • 2.9, Аноним (-), 12:51, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И чем тут поможет второй фактор? На фишинг-страничке ещё одно поле для ввода сделать не осилят? Это средство эффективно только при краже отдельно взятого пароля, а когда юзер сам всё вводит — толку никакого.
     
     
  • 3.12, Аноним (-), 13:15, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Второй фактор - подтверждение СМС, не?
     
     
  • 4.15, Аноним (-), 13:17, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Второй фактор - подтверждение СМС, не?

    и ты этот код введешь на той же фишинговой странице, большое спасибо.
    А мы тебе покажем после этого сообщение об ошибке аутентификации, или вообще что твой акаунт заблокирован, звоните в бубен, пишите роботу. Причем даже адрес робота дадим настоящий, он все равно цитатами из фак отвечает.

     
     
  • 5.18, Аноним (-), 13:31, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты этот код просто не получишь
     
     
  • 6.19, анон (?), 13:46, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Почему? Фишинговая форма прикручена через условный селениум к настоящей странице аутентификации. Как только в фишинговоую форму вводятся нужные данные они тут же через селениум уходят на настоящую форму. С точки зрения google тут все ок, поэтому смс будет отправлен.

    Учитвая целенаправленность аттаки там вообще не селениум мог быть а человек.

    Двухфакторка работает от прямой утечки паролей, но не от mitm.

     
     
  • 7.29, анонимно (?), 16:04, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Ну во первых фишинговая страничка ворующая логин с паролем это намного проще чем страничка с перенаправлением на сервер google.

    Во вторых сервер google может заартачиться

    В третьих получив доступ к аккаунту злоумышленник не сможет сменить пароль без СМСки которую уже неоткуда взять.

    Сделай google дальше загрузку обновленного ПО через подтверждение СМС и всё, атака остановлена
    (заметили что банки на транзакцию тоже СМС хотят не смотря на то что вас они по 2 фактору уже аутентифицировали)

    Человек получит сообщения что что-то не то и на его акк вошли с другого устройства и быстро поменяет пароль и остановит атаку на порядок быстрее чем это сделает техсаппорт google.

    Видите сколько неоспоримых плюсов если подумать.

     
     
  • 8.33, Аноним (-), 17:17, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Злоумышленнику никто не мешает сменить привязанный телефон Выдоить из пользоват... текст свёрнут, показать
     
     
  • 9.40, Sasha (??), 19:35, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Для смены телефона разве не надо отправить смс на старый телефон ... текст свёрнут, показать
     
     
  • 10.58, Аноним (-), 14:13, 07/08/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    При вводе кода подтверждения авторизации просто сообщаем пользователю, что код в... текст свёрнут, показать
     
  • 9.43, Аноним (-), 20:40, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    1 От клинического случая ничего не поможет, но не думаю что это случай который ... текст свёрнут, показать
     
     
  • 10.55, борис эйк (?), 10:45, 05/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ffgj... текст свёрнут, показать
     
  • 4.20, Ergil (ok), 13:59, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не обязательно.TOTP(RFC 6238) у того же гугла, да вроде и железный второй фактор у них был, если правильно помню.
    А, да, еще есть вариант подтверждения нажатия на мобиле залогиненной в аккаунт кнопки подтверждения, что это ты сейчас пытаешься войти в аккаунт.
     
     
  • 5.23, Аноним (-), 14:29, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Не обязательно.TOTP(RFC 6238) у того же гугла, да вроде и железный второй
    > фактор у них был, если правильно помню.

    был, ubiquity, но вот в эреф ты ее попробуй-ка купи. Я пытался - хрен там :-(

     
     
  • 6.30, анонимно (?), 16:08, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> Не обязательно.TOTP(RFC 6238) у того же гугла, да вроде и железный второй
    >> фактор у них был, если правильно помню.
    > был, ubiquity, но вот в эреф ты ее попробуй-ка купи. Я пытался
    > - хрен там :-(

    В РФ бери fido u2f JaCarta U2F

     
     
  • 7.53, Kuromi (?), 00:12, 05/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Джакарта дорогая и ненужно. Проще посмотреть на амазоне (там бывают недорогие варианты), а потом через Shipito переслать в РФ, почта выходит копеечная, благ весь мизерный. Например ePass FIDO от Feitian
     
     
  • 8.56, Аноним (-), 15:18, 05/08/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а потом, приехав побухать с друзьями в LA, неожиданно присесть лет на двадцать ... текст свёрнут, показать
     
  • 2.13, Аноним (-), 13:15, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    гуглю давно надо запретить выделываться с угрозами немедленно блокировать дополн... текст свёрнут, показать
     
     
  • 3.21, Ergil (ok), 14:03, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > и да, при мало-мальской грамотности фишера никакая двухфакторка не поможет, ты второй
    > код введешь ровно туда же, куда и первый. И оно радостно
    > авторизуется за тебя.

    Хорошо. Введешь. Авторизуется. И тебе придет письмо «Вы только что залогинились с такого-то IPшника», а ты смотришь и понимаешь, что страна-то не твоя, не то что IPшник. Ну и да, однократно может и залогинятся, но повторить аттракцион не удастся.
    И это хорошо если тебе гугл вообще даст сходу войти с незнакомого адреса, если у них не сработает защита.

     
     
  • 4.22, Аноним (-), 14:28, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    ну так ему и пришло, и он именно тогда и понял, что попал, когда ж еще А если д... текст свёрнут, показать
     
     
  • 5.31, анонимно (?), 16:10, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну т.е. вы описываете уж совсем клинический случай. Таких надо банить и по делом.


     
     
  • 6.41, Аноним (-), 19:39, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну т.е. вы описываете уж совсем клинический случай.

    то есть вы никогда не опечатываетесь, ни в пароле, ни в длинной бессмысленной строчке второго ключа, копируя ее с телефона, и вам насpать, что гугль ваш плагин сейчас забанит вместе с автором, вы еще десять напишете и зарегистрируетесь через тор, можно не торопиться реагировать на предупреждение?

    > Таких надо банить и по делом.

    правильно, чтоб остались только плагины, которые никому не нужны, включая их авторов, мальчиков с феноменальной зоркостью.

    Я, в целом, поддерживаю - кто играет с гуглем на деньги, сам виноват.

     
     
  • 7.44, Аноним (-), 20:42, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >[оверквотинг удален]
    > то есть вы никогда не опечатываетесь, ни в пароле, ни в длинной
    > бессмысленной строчке второго ключа, копируя ее с телефона, и вам насpать,
    > что гугль ваш плагин сейчас забанит вместе с автором, вы еще
    > десять напишете и зарегистрируетесь через тор, можно не торопиться реагировать на
    > предупреждение?
    >> Таких надо банить и по делом.
    > правильно, чтоб остались только плагины, которые никому не нужны, включая их авторов,
    > мальчиков с феноменальной зоркостью.
    > Я, в целом, поддерживаю - кто играет с гуглем на деньги, сам
    > виноват.

    у меня есть yubico токен яжепраграммист

     
     
  • 8.49, Аноним (-), 21:30, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    блин, ты напрограммил убико-токен А если купил - то где официальный представи... текст свёрнут, показать
     
  • 4.34, Аноним (-), 17:43, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > И это хорошо если тебе гугл вообще даст сходу войти с незнакомого адреса, если у них не сработает защита.

    Какая защита? Если злоумышленник арендует хост в твоём регионе и часовом поясе, как гугл его от тебя отличит?

     
     
  • 5.42, Злоумышленник (?), 19:41, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Какая защита? Если злоумышленник арендует хост в твоём регионе и часовом поясе,

    может мне еще и собственной кредиткой за него заплатить, чтоб совсем уж спалиться?

    ломанул гнилую жумлу на vps'е, вот тебе и хост.


     

  • 1.26, Kodir (ok), 15:05, 04/08/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Вот что значит неконтролируемый выход в сеть - СУДИТЬ надо  любую компанию, ПО которой вылезает в Интернет без разрешения автора.
    Если бы плагины обновлялись по желанию юзера, инфицированная база была бы стократ меньше.
     
     
  • 2.27, Anonplus (?), 15:24, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чего мелочиться - сразу расстреливать.
    Это экстремизм, батенька.
     
  • 2.28, Аноним84701 (ok), 15:40, 04/08/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Если бы плагины обновлялись по желанию юзера, инфицированная база была бы стократ меньше.

    А если бы кое-кто (не будем показывать пальцем на хромающего лидера и "законодателя мод" в мире веба, как и на на тройку отстающих-подражателей) вместо встраивания  и дополнения все новыми и разными свистелками и перделками, сделал _нормальную_ aутентификацию,  вместо старого доброго гоняния паролей в плейнтексте ... уводить учетки фишингом стало бы даже без двухфактроной аутентификации намного сложнее.
    Но на этом же особо не попиаришься, поэтому лучше сделаем вид, что обертка в виде tls (ssl), в контексте передачи паролей – совсем не костыль, прикрученный скотчем, а как раз для этого и задумывался, угу.

     

  • 1.47, AlexYeCu_not_logged (?), 21:25, 04/08/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ssh? Не, не слышали.
     
  • 1.54, НяшМяш (ok), 00:48, 05/08/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Если уж разработчики умудряются свои данные слить добровольно, то простых юзеров даже бить за это не хочется теперь.
     
  • 1.59, Аноним (-), 17:29, 07/08/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да лаадна. Быть того не могёт. Дыряв только флеш. Остальные нашлепки на браузеры прочнее брони. Сами браузеры вообще не могут быть дырявыми. Никогда. Ни за что.
     
     
  • 2.60, Аноним (-), 11:25, 08/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Сарказм это низшая форма юмора.
     
     
  • 3.61, Аноним (-), 13:20, 08/08/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Сарказм - это приём сатиры, высшая степень иронии, он вообще не свойственен юмору.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру