19:32
18/1/2014

Pisanie dodatków do przeglądarki Chrome to z reguły mało dochodowe zajęcie. Nawet, jeśli nasz dodatek zyska popularność porównywalną z FlashBlockiem czy ScriptSafe to jedyną formą zarobienia na nim będą reklamy lub dotacje od użytkowników — a nie są to kokosy. Chyba, że… sprzedamy nasz dodatek twórcom złośliwego oprogramowania. Niektórzy z developerów już to zrobili.

Chrome ułatwia propagację “złośliwego” dodatku

Przeglądarka Chrome to ciekawa platforma deweloperska — automatycznie wymusza aktualizację nie tylko samego silnika przeglądarki, ale także dodatków, które zainstalował użytkownik. Oczywiście nie ma w tym złych intencji Google — automatyczna aktualizacja to w końcu opcja podnosząca bezpieczeństwo użytkowników. Niestety, czasem może to działać na korzyść twórców złośliwego oprogramowania…

Google Chrome

Google Chrome

Problem bowiem w tym, że część z dodatków, które w momencie instalacji mogły być użyteczne i zaufane, wcale nie muszą nimi być teraz. A przecież Chrome nie poinformuje nas o tym, że któryś z dodatków zmienił właściciela na nowego, o niezbyt czystych intencjach…

Przykłady złośliwych rozszerzeń

Blog OMGChrome opisuje wyznania developera dodatku “Add to Feedly“, który został sprzedany twórcom złośliwego oprogramowania za 4-cyfrową kwotę (w dolarach).

Add to Feedly

Add to Feedly

Po miesiącu od transakcji sprzedaży, nowi właściciele wypuścili aktualizację, która automatycznie dotarła do 30 000 użytkowników tego rozszerzenia. Nowe “funkcje” wstrzykiwały we wszystkie przeglądane przez użytkownika strony złośliwe reklamy oraz podmieniały obecne w tekście linki.

Kolejnym przypadek tego typu opisuje Ars Technica — było nim rozszerzenie “Tweet This Page“, które przechwytywało wyszukiwania w Google, kierując wyniki na złośliwe strony internetowe.

Tu trzeba wspomnieć o tym, że oryginalny developer rozszerzenia Add To Feedly nie miał pojęcia komu sprzedaje rozszerzenie i nie przypuszczał, że zostanie ono wykorzystane do ataków. Jego “spowiedź” możecie przeczytać tutaj.

Jak wykryć złośliwe rozszerzenie?

Nie jest to łatwe. Po pierwsze, skanery automatyczne mają problem z wykrywaniem złośliwego JavaScriptu dynamicznie wstrzykiwanego w kontekst stron WWW. Po drugie, dodatki są skojarzone z kontem Google danego użytkownika, a więc reinstalacja nie pomoże — zaraz po zalogowaniu się do Chrome na świeżym systemie, złośliwe rozszerzenie znów zostanie ściągnięte.

Z tego powodu lepiej zapobiegać niż leczyć. Proponujemy więc wejść na zainstalowanych stronę dodatków i zweryfikować, czy rzeczywiście ich potrzebujecie. Warto też zwrócić uwagę, że “wstrzykiwać” złośliwy kod mogą tylko te z rozszerzeń, które podczas instalacji proszą o urpawnienie o nazwie:

access your data on all web pages

Uprawnienia dodatku, które pozwalają na wstrzykiwanie treści w strony WWW

Uprawnienia dodatku, które pozwalają na wstrzykiwanie treści w strony WWW

Można także zainstalować specjalne rozszerzenie, które będzie informowało nas w momencie, w którym inne rozszerzenie się zaktualizuje (Yo Dawg!). W tym przypadku trzeba jednak mieć nadzieję, że autor tego rozszerzenia się nie sprzeda ;)

Przeczytaj także:

28 komentarzy

Dodaj komentarz
  1. Miałam podobne rozszerzenie: Nieusuwalny NewTab.

  2. “… wejść na zainstalowanych stronę dodatków…”. Brzmi co najmniej groźnie.

    • “Wpłynąłem na suchego przestwór oceanu” :)

      “Tu trzeba wspomnieć o tym, że w przypadku oryginalny developer rozszerzenia” tutaj też widać kreatywne podejście do języka.

    • Albowiem moc silna w tym jest

    • Czyż nie pięknym było by pisanie o technologii językiem
      przodków naszych (albo raczej takim jakim nam się wydaje, że był?
      ;) ). “Myszkę ujął w silną dłoń swą. Pod palcami poczuł burzę
      klawiatury – tak! Marian zwycięzcą być pragną w odwiecznym boju
      człowieka z maszyną.”

    • Pewnie piotr sprzedał się nsa która nieudolnie wykorzystała
      translator google :-p

  3. Używałem kiedyś rozszerzenia Windows Resizer. Twórca
    wtyczki jednak stwierdził, że narzuci wszystkim swoim użytkownikom
    przekierowywanie linków z Google przez serwery organizacji, która
    niby miała zajmować się ratowaniem lasów deszczowych. Niby można
    było tą funkcję wyłączyć ale sam pomysł nie był czystym zagraniem
    dlatego podziękowałem wtyczce.

  4. “(Yo Dawg!)” dobre :D od jakiegoś czasu widzę, że memami
    można opisać niemal każdą sytuację :D

    • od kiedy to coś zalicza się jako
      >mem

    • @Joanna: pewnie od wtedy, od kiedy jest memem. Google is your friend.

  5. Ja tylko dodam, że jeśli rozszerzenie zażąda dodatkowych uprawnień to Chrome czeka z aktualizacją na zgodę użytkownika, a rozszerzenia instalowane ręcznie (spoza Web Store) w ogóle nie są aktualizowane automatycznie.

  6. Droga redakcjo! A ja dodam, że link z chrome://extensions
    nie ma sensu – nie działa na klik. ;)

    • Komu nie działa, temu nie działa :) Kwestia
      ustawień.

  7. zasadniczo do bani, bo Adblock, DoNotTrackMe, Magic Actions for YT, tampermonkey maja takie własnie uprawnienia, a jak mam się bez nich obyć… szczególnie śmieszne jest to dla DNTM

  8. ja mialem taka aplikacje ze co 2 otwarta strona wlaczal sie
    adfly.

  9. jakiś czas temu “translate selection” po aktualizacji zamiast robić to co ma w nazwie zaczęło robić to wyżej opisano, czyli w strony np. oferty sklepu “wstrzykiwać” reklamy innych sklepów. Nie rozumiem czemu google mając takie zasoby, nie potrafi k. zablokować tego typu akcji (w chwili jak wywalałem dodatek miał już jakieś kilkadziesiąt negów i nie wiem ile zgłoszeń o nadużycie).

    • A czy Google to by się opłacało? Te reklamy to nie AdSense?
      Gdyby tracili dochody pewnie od razu wzięliby się za szukanie
      skutecznego rozwiązania tego problemu. Co prawda mam SRWare Iron
      jako dodatkową przeglądarkę, ale zainstalowałem tylko jedno
      rozszerzenie i nie wstrzykuje reklam, więc nie będę celowo sobie
      infekował przeglądarki, żeby to sprawdzić. Androidowe
      bloatware/adware wyświetla reklamy Google i to główna przyczyna
      tego, że ta spółka zupełnie nie przejmuje się złą opinią o stanie
      bezpieczeństwa i jakości aplikacji.

    • To nie było AdSense.
      Jakaś większa chamówa. Wchodzisz sobie np. na polski sklep, oglądasz produkt, a tam w środek strony wrzucony iframe typu “ten produkt też możesz kupić tutaj xxx i linki.” Bez żadnego info że to jakaś obca reklama. W sumie gdyby nie to że po eng. to można by się wcale nie skapnąć że to wrzuta. Jak dla mnie to nawet by można było do sądu podać za to.
      Teraz patrze i “niestety” już ten dodatek zniknął z listy.
      Co więcej, jeśli dodatek “wykrywał” jaki produkt się ogląda to musiał analizować wszystkie oglądane strony (a może i przesyłać do spamerów w celu analizy!). Żaden ssl tu nie ratuje. Prawdopodobnie równie dobrze mógłby mi podmienić na stronie banku jakieś dane w chwili dokonywania przelewu. Brrr.

  10. Ok dobrze a jak usunąć to: YTBBoOkMARk? Cały czas się
    instaluje jest na to jakiś sposób?

  11. AdwClener, jak nie pomoże, to nie wiem ;) Grzebanie w
    folderach i rejestrze i usuwanie ręczne zostaje.

  12. Proponuję Niebezpiecznikowi zrobienie po prostu klona tej wtyczki, która monituje o aktualizacjach innych wtyczek i wypuszczenie po własną marką. Wy też się możecie sprzedać, ale to raczej później albo za taką kwotę, że od razu w łańcuchu bloków będzie widać :)

  13. Najlepszy program który zabeczpiecza użytkowników przeglądarki Google? Chrome Uninstaller.

    • Kiedyś to samo pisali o Windowsie.

  14. Przydałaby się lista takich dodatków, wtedy można byłoby wiedzieć, czego nie instalować ;)

  15. Zawsze można wrócić do IE.

  16. Lata temu mowilem, ze tak beda wykorzystywane rozszerzenia – zostalem wysmiany. Coz, glupota jest jednak przewidywalna w swoim braku wyobrazni. Sama filozofia przegladarki z rozszrezeniami jest dla mnei jakas paranoja. Jeszcze gdyby to bylo robione tak jak w starej Operze na Presto – kazde rozszerzenie wymaga zatwierdzenia ze strony deveoperow Opery, ale juz FF czy Chrome to wolna amerykanka, istna parodia bezpieczenstwa.

  17. Czy mógłby ktoś mi powiedzieć, jak pod względem bezpieczeństwa wypada Comodo Dragon? Wiem, że jest na silniku Chrome’a, ale podobno sporo jest zmodyfikowane.

  18. W firefox też będą jaja z dodatkami. Np. Flash Video Downloader wersja 4.0.8 waży 300kb, wersja 5.2 ponad 5mb.
    https://addons.mozilla.org/pl/firefox/addon/flash-video-downloader/

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: