Разработчики блокировщика рекламы AdGuard сообщили (https://adguard.com/en/blog/big-star-labs-spyware/) о выявлении серии дополнений к Chrome и Firefox, а также мобильных приложений для Android и iOS, в которых скрыто осуществляется отправка сведений персонального характера и информации о посещаемых пользователем ресурсах. Все проблемные дополнения так или иначе связаны с компанией Big Star Labs и имеют аудиторию около 11 млн пользователей.
Примечательно, что выявленные дополнения и приложения с вредоносным кодом относились к категории приложений для блокирования рекламы и нежелательного контента, защиты персональных данных, ускорения загрузки страниц и чистки системы. Из проблемных дополнений можно отметить Block Site (1.6 млн установок), Poper Blocker (2.3 млн установок) и CrxMouse (400 тысяч установок), а среди мобильных приложений Speed BOOSTER (более 5 млн установок), Battery Saver, AppLock, Privacy Protector, Clean Droid, Block Site, Popup Blocker и Adblock Prime (iOS). В настоящее время все проблемные дополнения и приложения уже удалены из каталогов Chrome Web Store, Mozilla AMO, Google Play и Apple Store.
По аналогии с недавно выявленными (https://www.opennet.ru/opennews/art.shtml?num=48908) проблемами в дополнении Stylish, во всех вышеотмеченных приложениях и дополнениях присутствовал код для отправки на внешний сервер информации о всех открываемых пользователем страницах, при том, что в предлагаемом приложениями соглашении о конфиденциальности заявлялось только о возможности сбора обезличенной анонимной статистики. Интересно, что соглашение было оформлено в виде картинки, а не текста, чтобы избежать индексации поисковыми системами.
На деле в процессе работы приложений и дополнений отправлялись полные URL всех открываемых пользователем сайтов, которые могли содержать сессионные ключи и конфиденциальную информацию из заполняемых форм. При передаче данных осуществлялась привязка к специально генерируемому идентификатору пользователя. Для скрытия информации о передаче URL применялось простейшее кодирование методом base64. Сведения отправлялись на хосты api.taskapi.net, api2.poperblocker.com, yourblocksite.com и ben.crxmouse.com.Для получения расширенных полномочий в мобильных приложениях предлагалось установить профиль Mobile Device Management (MDM), позволяющий полностью контролировать все аспекты работы устройства, перехватывать трафик и читать все пользовательские данные. Также в мобильных приложениях запрашивались полномочия для включения сервиса Accessibility, который позволяет под видом средств для людей с ограниченными возможностями подключить обработчик, перехватывающий весь ввод и вывод информации.
Дополнительно можно отметить инцидент (https://blog.sucuri.net/2018/07/browser-extension-bug-leads-...) с FireFox-дополнением Pinterest (https://addons.mozilla.org/en-US/firefox/addon/pinterest-pin.../), добавляющем кнопку для быстрого сохранения контента в сервисе Pinterest. Ошибка в оформлении CSS приводила к тому, что вместо отображения пиктограммы сервиса во все формы добавлялась строка из декодированного блока base64. В частности в CSS был указан код "background: #bd081c url(data:image/svg+xml;base64,PH...)", в котором после декодирования блок подставлялся не как inline-изображение, а как URL (ошибка заключается в применении функции "url").Декодированная из base64 строка попадала во все редактируемые формы, включая комментарии, сообщения в чате, формах с адресами и т.п. Судя по тому, что подставляемый код представляет собой хаотичный набор данных, не видим на странице (подстановку можно заметить только посмотрев код страницы) и не выполняет вредоносных действий проблема вызвана ошибкой, а не злым умыслом. Тем не менее, поиск в Google показывает, что ошибка привела к подстановке кода как минимум на 5 тысяч сайтов. Инцидент продемонстрировал эффективность метода для скрытой подстановки кода на страницы, что делает его интересным для авторов вредоносных дополнений.
URL: https://adguard.com/en/blog/big-star-labs-spyware/
Новость: https://www.opennet.ru/opennews/art.shtml?num=49038
Javascript?
Нет, Fortran
Фортран -- святой язык, вечный, я бы даже сказал.
Во все времкна убогих считали святыми.
молодцы, крутятся как могут, делают деньги на приватной информации пользователей
программное обеспечение которое мы заслужили в 2018
Вам жалко хомяков, которые ставят всякие Cleaner'ы, Saver'ы и Protector'ы?
А почему они их ставят? Потому что другие ушлые "не хомяки" понаписывали всяких Амиго и прочего кала.
Они их ставят также как и всякие драйверменеджеры пушта им всем за 30, 40 лет и они безмозглые хрюшки. Гляньте форумы.. одни клоуны возятся со всем этим. Каждый друг другу советует. Уморишься читая их оды.
С расширениями также - куча безграмотных клоунов.
>С расширениями также - куча безграмотных клоунов.Не по адресу. Тут вам никто не поверит.
О какой вере идёт речь?)
Вера в то, что вы якобы умнее описывемых личностей. Уж, то, что вам и 20 лет нет очевидно всем. ("30-40 лет" выглядит как мамонты небось?)
Я думаю вы, красавчик, во всём отлично разбираетесь. В обработке почвы, в семенах культурных растений, в посадке, в выращивании, в уборке, в хранении, в доставке, в приготовлении, в производстве средств доставки и приготовления продовольствия, в производстве кухонной и столовой посуды, в производстве.... ну вы понели, можно перечислять бесконечно все те области, от которых зависит ваше комфортное пребывание за компом, посмеиваясь над "глупцами". Фу таким быть. Очень грустно мне.
>Я думаю вы, красавчик, во всём отлично разбираетесь. В обработке почвы, в семенах культурных растений, в посадке, в выращивании, в уборке, в хранении, в доставке, в приготовлении, в производстве средств доставки и приготовления продовольствия, в производстве кухонной и столовой посуды, в производствеЛегко. С помощью Google, Yandex, Yahoo, DuckDuckGo...
Кто-то не умеет различать теорию и практику.
В армию вас надо, чтобы мозги на место встали, голубчик
Чтобы маршировал, сугробы ровнял и квадратной головой не думал, а ел.
> Чтобы маршировал, сугробы ровнял и квадратной головой не думал, а ел.Классический набор штампов из книг, зомбоящика и кино. Наверное, отлично успокаивает эго и повышает самооценку откосивших?
В отличие от описываемых хомяков, если у меня живот жестоко заболит - я не буду сам себе ставить припарки и заниматься уринотерапией, а пойду к специалисту. Нежелание обращаться к специалистам (зачастую за деньги, вестимо) - как раз та причина.
А специалистом окажется аналог @robot228. И подумает он такой: "вот дурак, до больного живота довёл". И будет мучить вас или деньги тянуть, не жалея.
Хуже, он пропишет ему уринотерапию и прочую малаховщину
Вот и выросло поколение, полностью попадающее под "определение Лаврова"....
> Вот и выросло поколение, полностью попадающее под "определение Лаврова"....Разочарую тебя, сынок, и остальных. Но я на пенсии как два года.
У меня было желания описать что к чему, однако, после ваших попыток найти очередного школьника оно пропало. Удачи вам.
Точно школьник )))
Нельзя просто взять и перестать быть школьником.
Мне за тридцать и я могу сказать, что у школьков с критисеским мышлением все в разы хуже, учитывая любовь к лидерам мнений.
> Вам жалко хомяков, которые ставят всякие Cleaner'ы, Saver'ы и Protector'ы?Полноте, сударь! Их нужно беречь, ведь только на их фоне мы, благородные потомки д'Артаньяна, можем красоваться перьями на шляпах!
> [...] Когда они пришли за мной — уже некому было заступиться за меня.
>
Да чёрт бы сними, с перьями - среди умных проблем меньше, а стимулов к развитию - больше. А так - только перьям и радоваться...
Ну так и просвящайте глупых, иначе никогда ничего в этом мире не изменится. А однажды некому будет подметать мусор на улице.
Я и просвещаю по мере сил и возможностей. А что до мусора - был бы спрос, а решение найдётся. Впрочем, чтобы просвещаться нужно ещё некоторое желание, а с этим у каждого по-своему.
Не надо их просвещать. Надо решать их проблемы за их деньги, это нормально. И отдавать им решать за свои деньги, то, что сам не умеешь. Разделение труда.
Вы не поняли. Когда вам машину отремонтировать надо - вы кривыми руками на сопли лепите найденные на помойке "запчасти", или идёте к профессионалам? Вот и тут так же. Не желающие обращаться к профессионалам в основном страдают, с чего бы их жалеть?
К профессионалам идут уже когда что-то случилось. Вы тоже не бежите в ремонт, когда у вас мобильник время от времени подвисает.
> Вы не поняли. Когда вам машину отремонтировать надо - вы кривыми руками
> на сопли лепите найденные на помойке "запчасти", или идёте к профессионалам?Вы не поняли - это было как раз обыгрывание самодовольства и важного надувания щек (самопровозглашенных) "профессионалов", считающих всех "не секущих" хомяками, ламерами или <подставить нужное>.
Чтобы что-то доверить профессионалам, нужно сначала узнать про это "что-то".
Не люблю аналогии, но если брать в этом качестве автомобиль, то на странный звук мотора или КПП при холодном старте сперва нужно обратить внимание (и вообще, знать что это -- не норма).Отягчающим пунктом с софтом идут заверения маркетолухов "все просто и вообще, само работает!", кучи знакомых с их "да тут сделать пару кликов" и т.д. и т.п.
Ну и о "профессионалах" как-то уж утопично -- у меня вон, полгода назад забарахлил дальний свет и мне (в оф. сервисе), "по гарантии" после осмотра предложили поменять всю фару целиком. Всего лишь за жалкие полторы тысячи (совсем не рублей), ага.
Хотя оригинальная запчасть от производителя стоит половину и устанавливается за полчаса.
Самое смешное - замена не помогла бы, т.к. методом получасового, самостоятельноьго тыка был выявлен дефект светодиодного модуля (за $40). Поэтому недоверие и даже нежелание обращаться к профессионалам вполне поятно, т.к. скорее всего страдать вы будете по-любому (только в одном случае за это еще и деньги возьмут), тем более в IT, где "профессионалов" тьма тьмущая.
> Вам жалко хомяковНекоторые из них находятся рядом и могут подставить тебя тоже.
Хомяк живёт с каждым из нас
С чего бы? Если мне надо что-то сделать вне рамок моих компетенций, я иду к людям, которые компетентны. За денежку или за взаимную услугу. Почему описанные хомяки считают, что пытаясь сделать что-то вне рамок их компетенций, они должны получить 100% результат без проблем?
так ведь хомяки ставят этот софт не от хорошей жизни, а от того что большая часть сайтов не смотрибельна без блокировки рекламы, а все смартфоны превращаются в тормозящую тыкву через 2-3 года после покупки.Это не вина хомяков, а их беда. Современные мобильная и веб-экосистемы ничем не лучше винды времен 9х. Скорее, даже хуже.
Вы агитируете тут будто ставить адблок стыдно и плохо и нужно искать этому оправдания? Серьёзно? Никто на это не купится.
Почему они не идут к тем, кто может нормально всобачить нужные дополнения в нужные места, сделать базовую оптимизацию (читать - поудалять кучу г0вна) и объяснить, когда (скоро) придётся менять? Денег жалко? Ну так ССЗБ, пусть ставят, их проблемы.
> кто может нормально...Ключевая фраза, где кроется основная причина. Ну не встречал я у каких-либо профессионалов лицензий или ещё чего, из чего можно было бы сделать вывод, что он профессионал. В принципе, это каждого рода деятельности касается. Нужно дома плитку положить, дверь поставить, какой-то прибор отремонтировать, болячку вылечить - всегда гадаешь на кофейной гуще или других подручных предметах, кто тебе попадётся. Соответственно, иной раз и забиваешь болт и делаешь сам, если это что-то не серьёзное.
Руки рубить таким "молодцам".
перефразирую: безопасных дополнений нет, есть недообследованные
Явно декларируемый открытый код и приличная репутация разработчика - неплохая гарантия, в общем-то. К примеру, насчёт uBlock Origin особых подозрений не возникает.
А что не так с Adblock Plus ?
https://adblockplus.org/ru/
Понятия не имею, может и хорошо всё. Я с него ушёл, когда он здорово тупил, а потом оказалось, что UBO на порядок удобнее.
а гуглозонды и проплаченный список рекламных сайтов оттуда уже убрали?
А вот зря. Лично вы же код не видели, и не лично у себя собрали из сходников. Тыц. можно минусить, но о том, о чём тут часто в последнее время пишут, я ору во всё горло уже года три.
javascript интерпретируемый язык, там ничего собирать не надо
Расширения вполне себе собираются/пакуются
Запаковать в zip это теперь сборка? Поколение ЖС какое-то.
Конкретно я, как ни странно, собирал - для Pale Moon сейчас готовые релизы не выкладываются. Но по факту - репутация решает, а в этом плане автор свои взгляды вполне давно и внятно заявил.Собственно, вы вообще, пожалуй, не найдёте примера, чтобы конкретный автор с репутацией внезапно скурвился, всегда либо какая-то контора перекупила, либо, как с AdBlock Plus и его белым списком, признаки открыты и заметны, и можно спрыгнуть, не дожидаясь реальных проблем.
Разрабы Tails ставят сабж в ТВ
Им можно доверять?
Нет, нельзя.
Кому можно?
Хомячкам - гикам надо во что-то верить. Иначе окажется, что мир не так прост и удобен и вообще надо думать головой.
> Battery Saverвот мне интересно, помимо вредоносного кода, там есть хоть строчка кода, направленного на сохранение заряда батареи?
там нет лишних строчек кода, благодаря чему он тратит меньше заряда, чем мог бы.
> направленного на сохранение заряда батареи?Что за мещанство? Если есть заряд то его надо тратить, а не хранить!
А как большинство устанавливает приложения? Следуя за миллионом мух. Это бич времени, когда большинство поинимается правым против мнения компетентных единиц.
А как ты, будучи некомпетентным сам, отличишь "компетентную единицу" от урода с горящим взглядом и взяткой в кармане?
Речь не о том, что я должен за них исследовать их же используемые программы. Просто то, чему доверяю я им совершенно не привлекательно. Зато то что, что появилось у нескольких приятелей это вещь и надо присоединиться. А еще и я бы должен в это обязательно вписаться.
>Это бич времениподозреваю, что так было всегда, и 500 лет назад, и 5000...
> AppLock, Privacy ProtectorЭто не 2 приложения, а одно - AppLock | Privacy Protector - an Android app with 500,000+ installs
Сейчас ломанутся удалять AppLock, а он нормальный ! )))
https://bugzilla.mozilla.org/show_bug.cgi?id=1478731Маразм какой-то.
Маразм это то что люди не ставят нормальные расширения.
Ну-ну расскажи мне про проблему в Block site.> For example, the "Block Site" app does it in order to detect whether the website needs to be blocked or not, which is its main purpose. If you enable the "block adult websites" feature, it starts sending over to the server the full address of every page you visit, just like its extension counterpart.
И самое главное покажи где опция "block adult websites" Block site 1.1.9.0 ?
Проблема в том, что уязвимость проверить сложно.
Мозиловцы быстренько почистили все.
Classic Add-ons Archive не спасает тоже, поскольку хранит только ссылки на адоны,
но не архивные копии адонов.
Но благо есть локальная копия адона. Нужный функционал можно выковырять.
> Ну-ну расскажи мне про проблему в Block site.
>> For example, the "Block Site" app does it in order to detect whether the website needs to be blocked or not, which is its main purpose. If you enable the "block adult websites" feature, it starts sending over to the server the full address of every page you visit, just like its extension counterpart.
> И самое главное покажи где опция "block adult websites" Block site 1.1.9.0
> ?
> Проблема в том, что уязвимость проверить сложно.
> Мозиловцы быстренько почистили все.
> Classic Add-ons Archive не спасает тоже, поскольку хранит только ссылки на адоны,
> но не архивные копии адонов.
> Но благо есть локальная копия адона. Нужный функционал можно выковырять.Архив инета?
Только что посмотрел, там тоже нету.
Если что-то конкретное нужно - я себе слил полный архив аддонов для Classic Add-ons Archive состоянием на 4 марта. Соответственно, могу поделиться.
Да уже не надо.Я почти дописал простенький блокировщик сайтов на основе Block Site.
У меня там список небольшой поэтому для личных нужд хватит с лихвой:)
Можно просто в uBlock Origin прописать домен сайта в свои фильтры.
Давайте этих сборщиков ддосить, смотреть куда шлют и срать туда вагоны мусора, пускай выгребают
Ну вот пошлют они Вас на три буквы, Вы на эти три свои буквы себе положите вагоны мусора... хоть тогда поймёте что это глупость?
Логика просто отменная.
А пошлют они меня в другую галактику, я до этой галактики и доберусь как миленький...хоть скорость света превышу.
Блин, когда уже во всех этих андроидах сделают настраиваемые политики безопасности ля приложений. Вот ставишь ты приложение, а оно говорит,- я хочу доступ к твоим СМС. Сейчас ты либо утираешься, либо не ставишь его. А должно быть так: ты устанавливаешь приложение, но даешь ему доступа к тому, что не требуется для его нормальной работы. Потому что старая модель, очевидно, себя дискредитировала полностью, разрабы требуют разрешений, которые никаким боком не относятяс к заявленным функциям приложения.
Неплохо бы третий режим - эмуляция доступа. Типа "хочу доступ к СМС". Ок, на тебе изолированный SMS-контейнер. Все попытки отправить - SUCCESS, но вместо отправки показываются пользователю. Все попытки принять читают только то, что пользователь сам в контейнер положил, если догадался, как это сделать.
То же самое со звонками - на тебе изолированный список вызовов, с контактами - на тебе изолированный контакт-лист, с записью звука - на тебе стрим с comfort noise. С доступом к файлам - chroot под видом "оригинальной" ФС. Причём приложение вообще не должно знать, подсунули ему реальные права или изоляцию.
Отличная идея! Реализуйте такое
Уже было. Privacy Guard в Cyanogenmod (a.k.a. Cyanogen OS). Только настройка - не для хомячков.
Никогда, гуглу невыгодно. Он наоборот safety net делает, а также тивоизацию, всё для того, чтобы заставить пользователя соблюдать EULA, не дают покоя лавры Apple, для телелфонов которых пишут пррложения-эксклюзивы те, кто хочет бабла заработать. Разработчики lineage настолько затерроризированы этим, что призвали сообщество пальцем не трогать safety net, предположив, что если кто-то будет с ним махинировать, следующим шагом гугла будет в засовывание в Требования запрета разблокировки загрузчика. Уже есть окирпичивание устройства в случае несовпадения подписи. Ещё идеи: обязательное использование подписанного гуглом трастлета и для максимизации стоимости поиска путей обхода сжигание e-fuse, выводящего из строя процессор.Бедняжки просто боятся признать, что так всё и будет, вне зависимости от махинаций с safety net, потому что это тренд, а тренд ведёт в неизбежное будущее.
Ну, у нас останутся китайцы. Хотя, не все китайцы одинаково полезны: https://habr.com/post/418751/
Я всё это делаю через Avira.
Что там в Авира? В каком месте?
> Блин, когда уже во всех этих андроидах сделают настраиваемые политики безопасности ля
> приложений. Вот ставишь ты приложение, а оно говорит,- я хочу доступ
> к твоим СМС. Сейчас ты либо утираешься, либо не ставишь его.
> А должно быть так: ты устанавливаешь приложение, но даешь ему доступа
> к тому, что не требуется для его нормальной работы. Потому что
> старая модель, очевидно, себя дискредитировала полностью, разрабы требуют разрешений,
> которые никаким боком не относятяс к заявленным функциям приложения.От 6 андроида и выше можно настраивать доступ.
Рекалама adguard, который имеет доступ к истории браузера и еще бог знает к чему.
Я хочу напомнить всем школьникам обращающимся к специалистам, что:
Дополнение для браузёра подпадает под услугу/товар. А действия разработчиков мошенничество. Я мог ппро Шульман, про доверие в обществе и экономику...
В настоящее время все проблемные дополнения и приложения уже удалены из каталогов Mozilla AMO, Apple Store.То что мозилла перестала модерировать аддоны в каталоге все давно знают. Но как в этот список попала эппл?
Я тут сравнил комментаторов Опеннет сейчас и 4-5 лет назад по старой памяти, сразу бросается в глаза, что народ помолодел и поглупел, пишет теперь откровенно детские вещи.
Раньше такого не было.Народ ударился в IT-культуру и хипстерские штучки.
Ещё ники стали длинней в среднем, если не "Аноним", народ перестал думать.Исчезли почти все старые завсегдатаи, в том числе юмористы, тролли и поехавшие, да и нормальные люди.
Вероятно, падение общего IQ прямо связано с тем, что полностью пропали поехавшие.На ЛОРе ситуация аналогичная, сейчас читаю, как будто бы дети пишут.
С такими темпами ещё через 5 лет, Опеннет и Лор превратятся в сайты для школьников.
Но почему так происходит? ИМХО, изменилась мода. Взрослые люди теперь сидят в своих кругах в соцсетях и в соотв. группах и заняты зарабатыванием денег.
лор превратился в сайт для школьников году в 2006м, а тут всех весёлых чуваков с короткими никами полоумный вахтёр разогнал, они теперь в телеге все.
фсбшными проектами не пользуюсь.
Есть подозрения?
> Я тут сравнил комментаторов Опеннет сейчас и 4-5 лет назад по старой памяти, сразу бросается в глаза, что народ помолодел и поглупел, пишет теперь откровенно детские вещи. Раньше такого не было.https://www.opennet.ru/opennews/art.shtml?num=37523
А не надо по памяти - берёшь и открываешь пять лет назад.
Не вижу разницы.
открой ещё несколько раз или ещё не дорос, чтобы разницу видет.
>[оверквотинг удален]
> Ещё ники стали длинней в среднем, если не "Аноним", народ перестал думать.
> Исчезли почти все старые завсегдатаи, в том числе юмористы, тролли и поехавшие,
> да и нормальные люди.
> Вероятно, падение общего IQ прямо связано с тем, что полностью пропали поехавшие.
> На ЛОРе ситуация аналогичная, сейчас читаю, как будто бы дети пишут.
> С такими темпами ещё через 5 лет, Опеннет и Лор превратятся в
> сайты для школьников.
> Но почему так происходит? ИМХО, изменилась мода. Взрослые люди теперь сидят в
> своих кругах в соцсетях и в соотв. группах и заняты зарабатыванием
> денег.Реформа образовательной системы РФ дает свои плоды. То ли еще будет лет так через 5-7
Это просто вы постарели на 5 лет
О! Нет! Как это ж могло случиться?
> Ещё ники стали длинней в среднем, если не "Аноним", народ перестал думать.Эм? Это к чему вообще?