CHROM GOOGLE: 32млн РАЗ скачено дополнений раскрывающих конфиденциальность данных

Компания Awake Security сообщила о выявлении 111 дополнений к Google Chrome, отправляющих на внешние серверы конфиденциальные данные пользователя.
В том числе дополнения имели доступ к созданию скриншотов, чтению содержимого буфера обмена, анализу наличия токенов доступа в Cookie и перехвату ввода в web-формах.

В сумме выявленные вредоносные дополнения насчитывали 32.9 млн загрузок в Chrome Web Store, а самое популярное (Sеarch Manager), a было загружено 10 млн раз и включает 22 тысячи отзывов.

Предполагается, что все рассмотренные дополнения подготовлены одной командой злоумышленников,
так как во всех использовалась типовая схема распространения и организации захвата конфиденциальных данных, а также встречаются общие элементы дизайна и повторяющийся код.
79 дополнений с вредоносным кодом были размещены в каталоге Chrome Store и уже удалены после отправки уведомления о вредоносной активности.
Многие вредоносные дополнения копировали функциональность различных популярных дополнений, в том числе нацеленных на обеспечение дополнительной защиты браузера, повышение конфиденциальности при поиске, преобразования PDF и конвертации форматов.

Разработчики дополнений вначале размещали в Chrome Store чистую версию без вредоносного кода, проходили рецензирование, а потом в одном из обновлений добавляли изменения, которые подгружали вредоносный код после установки.

Для скрытия следов вредоносной активности также применялась техника выборочных ответов – при первом запросе выдавалась вредоносная загрузка, а при последующих не вызывающие подозрения данные.

В качестве основных путей распространения вредоносных дополнений выделяется продвижение профессионально выглядящих сайтов

и размещение в Chrome Web Store, обходя механизмы проверки для последующей загрузки кода с внешних сайтов.

Для обхода ограничений по установке дополнений только из Chrome Web Store атакующими распространялись отдельные сборки Chromium с предустановленными дополнениями, а также производилась установка через уже присутствующие в системе рекламные приложения (Adware).

HELPSOC МНЕНИЕ: привет Microsoftu, соц. Сетям и другому про Американскому софту, с их обновлениями, исправлениями и разведывательным микропрограммам!

Что там Китай и Россия! В сравнении это ещё несмышлёные дети делающие первые шаги. Говоря Хром, слышим Гугл корпорация.

Сколько не проверенных микропрограмм закачено через гугл маркет и веб приложения контролируемые гугл?

Это миллионы софта и миллиарды опасных строк в коде этого софта, как для браузера хром на компьютер и ноутбуки, так и для программ закаченных через гугл маркет в смартфонах и планшетах.
Аналогию можно проводить и с Apple, но не столь категорично, более интеоегентно ( хотя страна одна и контроль соответствующий).

Вывод, только «инкогнито спасёт мир интернета», от засилья корпораций и разведки в пользу конкретной страны, пытающейся стать богом, зная всё о тебе и поэтому способна влиять на тебя и на всех, кроме инкогнито.

Инкогнито, в ИТ понимании: это свободный интернет пользователь, соблюдающий правила безопасности и анонимности, при работе через интернет, но свободно использующий небезопасный интернет, вне работы и делового общения.
Это пользователь, который понимает опасность и отделяет существенную угрозу в интернете, от несущественной угрозы, на свой страх и риск.

Анонимный пользователь, это любой пользователь, желающий скрывать свою личность по любым причинам.

Исследователи проанализировали 100 сетей финансовых, медийных, медицинских, фармацевтических, нефтегазовых и торговых компаний, а также образовательных и госучреждений, и почти во всех из них выявили следы наличия рассматриваемых вредоносных дополнений.

В ходе кампании по распространению вредоносных дополнений было зарегистрировано более 15 тысяч доменов, пересекающихся с популярными сайтами

(например, gmaille.com, youtubeunblocked.net и т.п.) или зарегистрированными после окончания срока продления ранее существующих доменов.

Данные домены также использовались в инфраструктуре управления вредоносной активностью и для загрузки вредоносных JavaScript-вставок, выполняемых в контексте открываемых пользователем страниц.

Исследователи заподозрили сговор с регистратором доменов Galcomm, в котором были зарегистрированы 15 тысяч доменов для вредоносных действий (60% от всех выданных данным регистратором доменов),
но представители Galcomm опровергли эти предположения и указали,
что 25% из перечисленных доменов уже удалены или выданы не Galcomm,
а остальные почти все являются неактивными припаркованными доменами.

Представители Galcomm также сообщили, что до публичного раскрытия отчёта к ним никто не обращался, и они получили список доменов, применяемых для вредоносных целей, от третьего лица и теперь проводят по ним свой разбор.

Выявившие проблему исследователи сравнивают вредоносные дополнения с новым руткитом на стороне пользователей, в браузере, через который осуществляется доступ к совместным хранилищам документов, корпоративным информационным системам и финансовым сервисам.

Злоумышленникам в таких условиях нет смысла искать пути полной компрометации операционной системы для установки полноценного руткита, – гораздо проще добиться установки вредоносного браузерного дополнения и контролировать через него потоки конфиденциальных данных. Кроме контроля за транзитными данными дополнение может запросить полномочия для доступа к локальным данным, web-камере, местоположению.

Как показывает практика, большинство пользователей не обращают внимание на запрашиваемые полномочия, а 80% из 1000 популярных дополнений запрашивают доступ к данным всех обрабатываемых страниц.

Tags: helpsoc, inkognito, chrome add, хром дополнения, расширения, безопасность, личные данные,

тэги: helpsoc, inkognito, chrome add, хром дополнения, расширения, безопасность, личные данные,

Оставьте первый комментарий

Оставить комментарий

Ваш электронный адрес не будет опубликован.


*

* Copy This Password *

* Type Or Paste Password Here *