13:28
22/8/2017

Czymże jest przeglądarka bez rozszerzeń i dodatków? Prawie każdy “coś” instaluje. Czy to adblocki, czy narzędzia do “screenshotów” stron albo inne zwiększające użyteczność World Wide Web skryptozakładki. Jest z czego wybierać… Niestety, rozszerzenia do przeglądarek w większości to projekty hobbystyczne. A to oznacza, że nie zawsze można im w pełni ufać. A ufać trzeba, bo aby większość dodatków poprawnie działało, muszą one mieć dostęp do modyfikowania kontekstu wszystkich odwiedzanych przez nas stron. A to może być bardzo groźne…

Przeglądarka to nowy “system operacyjny”

Można powiedzieć, że żyjemy dziś w czasach, w których naszym podstawowym systemem operacyjnym na laptopach i desktopach są …przeglądarki. Większość czynności wykonujemy właśnie w nich. Jeśli zatem ktoś przejmie przeglądarkę, to w zasadzie z automatu dostaje dostęp do najistotniejszych dla przeciętnego internauty danych (e-maile, konta bankowe, dane z serwisów usługowych).

W ostatnich miesiącach można zaobserwować, że chętnych na taki wektor ataku (tzw. supply-chain attack) jest coraz więcej. Na przestrzeni ostatnich 100 dni, atakujący przejęli 8 popularnych dodatków do najpopularniejszej obecnie przeglądarki Google Chrome. Te dodatki są używane przez prawie 5 milionów ofiar…

Innym popularnym atakiem korzystającym z takiego wektora ataku był NotPetya. Tam także atakujący przemycili złośliwy kod na komputery ofiar w postaci złośliwej aktualizacji, wykorzystując zaufanie ofiar do danego programu.

Jak przejmuje się kontrolę nad dodatkiem?

Tak jak nad wszystkim innym obecnie — phishingiem ;) I to by było na tyle, gdyby ktoś myślał, że za tworzeniem aplikacji/rozszerzeń do przeglądarek stoją silnie techniczni i rozsądni ludzie :) Wiadomość rozesłana developerom wyglądała tak:

A fałszywy panel logowania tak:

Ofiarami tego phishingu padli developerzy poniższych dodatków:

    Web Developer – Version 0.4.9
    Socialfixer – ciężko powiedzieć od której wersji
    Chrometana – Version 1.1.3
    Infinity New Tab – Version 3.12.3
    CopyFish – Version 2.8.5
    Web Paint – Version 1.2.1
    Social Fixer 20.1.1
    TouchVPN (nie udało się ustalić od której dokładnie wersji)
    Betternet VPN (nie udało się ustalić, od której wersji)

Atakujący do ich kodu wprowadzili następujące “ulepszenie”:

Dzięki temu, mogli z własnej domeny wstrzykiwać kod JavaScriptowy do przejętego dodatku i w konsekwencji do stron internetowych użytkownika, który z podmienionego dodatku korzysta. Atakujący mogli więc wykradać dane z kontekstu użytkownika, modyfikować je (stosując technikę phishingu na ofierze — użytkowniku przeglądarki ze złośliwym dodatkiem), a także wysyłać dowolne żądania na jakie pozwala załadowany w danej chwili w karcie przeglądarki serwis internetowy.

Mając nieskończone możliwości, atakujący skupili się m.in. na przechwytywaniu haseł do kont Cloudflare. Złośliwe rozszerzenie generowało request po klucz API. Dzięki temu, atakujący może przekierować rekordy DNS serwisów ofiary na swoje serwery i przejąć ruch.

Poza tym, jak mogliście się domyśleć, wyświetlali swoje reklamy podmieniając jednostki reklamowe na odwiedzanych przez ofiarę stronach. Głównie dotyczyły one treści dla dorosłych i fałszywych komunikatów o “wirusach” skłaniających do instalowania złośliwego oprogramowania, tym razem nie w przeglądarce, ale już na komputerze ofiary. Świetny przykład tego typu kampanii opisywaliśmy jakiś czas temu w kontekście serwisu Allegro i reklam w wyszukiwarce Google.

Korzystam z rozszerzeń / dodatków — co robić, jak żyć?

Przejrzyj wszystkie swoje rozszerzenia (znajdziesz je tu) i zastanów się, czy ich naprawdę potrzebujesz. Jeśli jakiegoś nie potrzebujesz, nie korzystasz z niego na codzień, wywal go. Abo wyłącz.

Zwróć uwagę na to, że nawet jeśli teraz z tym “mniej używanym” przez Ciebie rozszerzeniem nie dzieje się nic złego, to rozszerzenia aktualizują się automatycznie i za jakiś czas, ten nieużywany i być może zapomniany także przez developera plugin zostanie przez kogoś przejęty. Już w 2014 roku pisaliśmy o takich przypadkach, por. Sprytny atak na użytkowników Google Chrome.

A jeśli jesteś developerem rozszerzenia/dodatku do przeglądarki, to miej się na baczności. Jak widzisz, nawet osoby techniczne da się podejść phishingiem. I patrz na co klikasz. Być może instalacja dodatku wykrywającego phishing Ci pomoże? :) Ale serio, to jest kilka dodatków podnoszących bezpieczeństwo i prywatność korzystania z przeglądarki — ich listę publikowaliśmy już jakiś czas temu w tekście Zabezpieczamy przeglądarkę Chrome

Przeczytaj także:

21 komentarzy

Dodaj komentarz
  1. Każdy dev bez włączonego 2FA powinien w tej sytuacji ponieść odpowiedzialność finansową. Google też mogłoby zmusić wszystkich autorów rozszerzeń do aktywacji 2FA.

    • a wszystkie wtyczki powinny być płatne, bezpieczeństwo nie jest za darmo…czyż nie?

    • Porównywanie 2fa i opłat jest co najmniej bez sensu.

    • a możliwość komentowania też powinna być płatna ;)

    • Te dodatki są na konkretnej licencji. Można sobie przeczytać co licencja mówi o szkodach powstałych z użytkowania – nie kojarzysz tego fragmentu w prawie każdej treści licencji, nie tylko FLOSS? Nakładanie kary byłoby złamaniem warunków licencji, a może wręcz wyłudzeniem.

  2. No jeżeli developerzy się na to nabierają, to mamy przekichane na całej linii.

  3. A jak to wygląda z pluginami do Firefoxa? Nie siedzę w temacie na co dzień ale używam Liska i chciałbym wiedzieć…

    • Jeśli jeszcze tego nie zauważyłeś, to pluginy znikają z Firefoxa (obecnie chyba tylko flash jest jeszcze wspierany, ale docelowo też chcą się go pozbyć). Natomiast dodatki będą działać tylko te, które bazują na WebExtension.

  4. Nie rozumiem zmiennej hash. Czy to będzie np. wdfdd28e8711928e16941e9a0d721137bd.win ?

    • zmienną hash zamieniasz na cokolwiek innego (a dokładniej domenę) i masz gotowy plik JS ładujący się na stronach:

  5. Przedtem miałem adbloka i od wyłaczania filmów html5 teraz nic i żyje jakoś

    • Ale co to za życie?…

  6. Do tego dochodzi jeszcze hotspotshield panowie. O touchu wiedzialem bo mbam wykryl mi zmiany w nim, a dzis wlasnie zmiany chcial wprowadzac Hotspotshield, po akceptacji wywalilo okolo 400 PUP.Optional. Wiec sprawa z tym chrome wyglada na bardziej zaawansowana niz moze sie wydawac.

  7. Do redakcji: wspomniany na koniec artykułu poradnik o zabezpieczaniu Chrome jest trochę nieaktualny np. nie ma już NotScripts. Czy można prosić o aktualizację?

  8. https://niebezpiecznik.pl/wp-content/uploads/2017/08/Picture2-1-207×250.png
    co
    ja wiem, że większość programistów niewiele wie o komputerach, ale są pewne granice…
    “przeglądarki. Większość czynności wykonujemy właśnie w nich”
    czy ja wiem? nie powiedziałbym, webapki są w większości tak upośledzone, że po prostu się nie chce z nich korzystać

  9. lepiej-tu-nie-klikaj.pl? łot da fak

  10. Z tym, że problem nie dotyczy wyłącznie Chrome, ale wszystkich przeglądarek opartych o Chromium/Blink, które obsługują dodatki z Chrome Web Store, np. Vivaldi czy Opera. Tak więc mimo, że Chrome ma największy udział w rynku, to może się okazać, że zasięg malware jest znacznie szerszy niż tylko Chrome.

  11. Drogi Niebezpieczniku, dlaczego nie podajecie źródeł skąd pochodzą zdjęcia? :-(

  12. Ja też padłem ofiarą tego ataku – miałem zainstalowane rozszerzenie WebDeveloper i wyświetlały mi się reklamy nawet na nowej “pustej” karcie w Chrome. Zrobiłem więc reset ustawień Chrome i manualnie włączyłem rozszerzenia których używam.

  13. To i ja się dorzucę. Jeżeli ktoś korzysta ze stronki giveaway.su i ich wtyczki to po opuszczeniu ich strony radzę ją wyłączyć. Podmienia z automatu linki na linki reklamowe i na stronach typu g2a dodaje swój kod referencyjny do adresu za który zgarnia prowizję gdy coś kupicie

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.