The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Злоумышленники получили контроль за Chrome-дополнением с мил..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Злоумышленники получили контроль за Chrome-дополнением с мил..."  +/
Сообщение от opennews on 04-Авг-17, 12:14 
Продолжаются фишинг-атаки на разработчиков браузерных дополнений, проводимые с целью захвата контроля над дополнением и подстановки в него вредоносного кода, отображающего навязчивые рекламные блоки. Если первой жертвой атаки стало (https://www.opennet.dev/opennews/art.shtml?num=46945) дополнение Copyfish с аудиторией 40 тысяч установок, то новая жертва оказалась значительно крупнее - злоумышленникам удалось (http://chrispederick.com/blog/web-developer-for-chrome-compr.../) получить контроль за дополнением  Web Developer (https://chrome.google.com/webstore/detail/web-developer/bfba...) у которого более миллиона активных пользователей.


По сообщению (https://twitter.com/chrispederick/status/892779297865318400) автора Web Developer, он по недосмотру ввёл данные в подставную форму аутентификации Google, подготовленную организаторами фишинг-атаки.  Метод проведения атаки был идентичен недавно описанной (https://www.opennet.dev/opennews/art.shtml?num=46945) атаке на дополнение Copyfish. Разработчику также пришло письмо с уведомлением о наличии проблем с соблюдением правил каталога   Chrome App Store и ссылкой на тикет с информацией по их устранению, при переходе на которую выдавалась подставная форма входа Google.


Захватив аккаунт злоумышленники сразу опубликовали новую версию Web Developer 0.4.9, в которую встроили код (https://gist.github.com/piedpiperRichard/076516da60f45842f1a...) для подстановки своей рекламы на  просматриваемые пользователем сайты. Не исключается, что дополнение могло выполнять и другие вредоносные действия, например, перехват паролей к web-сайтам (в частности, имеются (https://gist.github.com/piedpiperRichard/076516da60f45842f1a...) подозрения на перехват парамеров доступа к API Cloudflare).


Версия с вредоносным кодом распространялась в течение нескольких часов, после чего разработчик уведомил о проблеме инженеров Google и оперативно выпустил обновление 0.5 с устранением вредоносной вставки. Для защиты от подобных фишинг-атак разработчикам дополнений рекомендуется включить в настройках двухфакторную аутентификацию (автор Web Developer её не использовал, что наряду с невнимательностью при заполнении форм оказало решающее влияние на успех проведения атаки).


URL: http://chrispederick.com/blog/web-developer-for-chrome-compr.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=46970

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


4. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  –1 +/
Сообщение от Аноним (??) on 04-Авг-17, 12:28 
Если код вставлял свою рекламу, то, по идее, не сложно должно быть выяснить (для гугла, например), кто за эту рекламу деньги получает. А тут уже и до уголовного дела не далеко.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +/
Сообщение от Аноним (??) on 04-Авг-17, 12:46 
Осталось доказать, а разумные люди вставляли бы не только свою рекламу.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

62. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +/
Сообщение от feudor (ok) on 08-Авг-17, 14:48 
тех кто занимается разбоем и грабежами можно как угодно назвать но только они от этого разумными не становятся.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

5. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +5 +/
Сообщение от Аноним (??) on 04-Авг-17, 12:28 
Кстати, фишинг может быть правдоподобной оплаченной попыткой под дурачка закосить.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +7 +/
Сообщение от рептилоид on 04-Авг-17, 14:32 
> Кстати, фишинг может быть правдоподобной оплаченной попыткой под дурачка закосить.

да, мы везде!

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

36. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  –1 +/
Сообщение от paulus (ok) on 04-Авг-17, 17:56 
>фишинг может быть правдоподобной оплаченной попыткой под дурачка закосить.

Сорри, я тут бабла и данных чуток покосил :)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +5 +/
Сообщение от Аноним (??) on 04-Авг-17, 12:42 
Я думаю google надо запретить публиковать дополнения тем у кого нет второго фактора. Это будет правильное решение. Что это за разраб который не способен защитить свое приложение? В лес такого разраба
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +3 +/
Сообщение от Аноним (??) on 04-Авг-17, 12:51 
И чем тут поможет второй фактор? На фишинг-страничке ещё одно поле для ввода сделать не осилят? Это средство эффективно только при краже отдельно взятого пароля, а когда юзер сам всё вводит — толку никакого.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +/
Сообщение от Аноним (??) on 04-Авг-17, 13:15 
Второй фактор - подтверждение СМС, не?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +/
Сообщение от Аноним (??) on 04-Авг-17, 13:17 
> Второй фактор - подтверждение СМС, не?

и ты этот код введешь на той же фишинговой странице, большое спасибо.
А мы тебе покажем после этого сообщение об ошибке аутентификации, или вообще что твой акаунт заблокирован, звоните в бубен, пишите роботу. Причем даже адрес робота дадим настоящий, он все равно цитатами из фак отвечает.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +1 +/
Сообщение от Аноним (??) on 04-Авг-17, 13:31 
Ты этот код просто не получишь
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +3 +/
Сообщение от анон on 04-Авг-17, 13:46 
Почему? Фишинговая форма прикручена через условный селениум к настоящей странице аутентификации. Как только в фишинговоую форму вводятся нужные данные они тут же через селениум уходят на настоящую форму. С точки зрения google тут все ок, поэтому смс будет отправлен.

Учитвая целенаправленность аттаки там вообще не селениум мог быть а человек.

Двухфакторка работает от прямой утечки паролей, но не от mitm.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

29. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +6 +/
Сообщение от анонимно on 04-Авг-17, 16:04 
Ну во первых фишинговая страничка ворующая логин с паролем это намного проще чем страничка с перенаправлением на сервер google.

Во вторых сервер google может заартачиться

В третьих получив доступ к аккаунту злоумышленник не сможет сменить пароль без СМСки которую уже неоткуда взять.

Сделай google дальше загрузку обновленного ПО через подтверждение СМС и всё, атака остановлена
(заметили что банки на транзакцию тоже СМС хотят не смотря на то что вас они по 2 фактору уже аутентифицировали)

Человек получит сообщения что что-то не то и на его акк вошли с другого устройства и быстро поменяет пароль и остановит атаку на порядок быстрее чем это сделает техсаппорт google.

Видите сколько неоспоримых плюсов если подумать.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

33. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +/
Сообщение от Аноним (??) on 04-Авг-17, 17:17 
Злоумышленнику никто не мешает сменить привязанный телефон. Выдоить из пользователя несколько кодов подтверждения подряд вообще проще простого — сконструировать страницу так чтобы старый код вводился неправильно или пропадал при отсылке и можно легко убедить жертву, что она сама опечаталась.

2FA не защищает от МИТМ, взлома компьютера, и ядерного взрыва. Да и от кражи пароля злоумышленником она защищает так себе — при использовании гугловской липовой "двухфакторности", если у злоумышленника откуда-то появился доступ к паролю пользователя, он может использовать этот же источник и для получения второго "фактора". "Факторы" вроде бы независимы, а канал для их передачи используется один.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

40. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +/
Сообщение от Sasha (??) on 04-Авг-17, 19:35 
Для смены телефона разве не надо отправить смс на старый телефон?
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

58. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +1 +/
Сообщение от Аноним (??) on 07-Авг-17, 14:13 
При вводе кода подтверждения авторизации просто сообщаем пользователю, что код введён неправильно, а сами авторизуемся и уже запрашиваем у гугла смену телефона. Гугл отправляет код подтверждения на смену телефона, а мы сообщаем пользователю, что выслан новый код подтверждения авторизации и просим его ввести.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

43. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +/
Сообщение от Аноним (??) on 04-Авг-17, 20:40 
1. От клинического случая ничего не поможет, но не думаю что это случай который вы описываете. Конструкторы, 100 вводов смс. Это далеко от реальности и не выходит за границы вашей фантазии об идеальном взломе.
2. Покупайте fido 2fa
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

55. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +/
Сообщение от борис эйк on 05-Авг-17, 10:45 
> От клинического случая ничего не поможет, но не думаю что это случай который вы описываете. Установка дополнения пользователем, загрузка дополнения злоумышленником в Google. Это далеко от реальности и не выходит за границы вашей фантазии об идеальном взломе.

ffgj

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

20. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +3 +/
Сообщение от Ergil (ok) on 04-Авг-17, 13:59 
Не обязательно.TOTP(RFC 6238) у того же гугла, да вроде и железный второй фактор у них был, если правильно помню.
А, да, еще есть вариант подтверждения нажатия на мобиле залогиненной в аккаунт кнопки подтверждения, что это ты сейчас пытаешься войти в аккаунт.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

23. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +/
Сообщение от Аноним (??) on 04-Авг-17, 14:29 
> Не обязательно.TOTP(RFC 6238) у того же гугла, да вроде и железный второй
> фактор у них был, если правильно помню.

был, ubiquity, но вот в эреф ты ее попробуй-ка купи. Я пытался - хрен там :-(

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

30. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +2 +/
Сообщение от анонимно on 04-Авг-17, 16:08 
>> Не обязательно.TOTP(RFC 6238) у того же гугла, да вроде и железный второй
>> фактор у них был, если правильно помню.
> был, ubiquity, но вот в эреф ты ее попробуй-ка купи. Я пытался
> - хрен там :-(

В РФ бери fido u2f JaCarta U2F

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

53. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +/
Сообщение от Kuromi on 05-Авг-17, 00:12 
Джакарта дорогая и ненужно. Проще посмотреть на амазоне (там бывают недорогие варианты), а потом через Shipito переслать в РФ, почта выходит копеечная, благ весь мизерный. Например ePass FIDO от Feitian
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

56. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +1 +/
Сообщение от Аноним (??) on 05-Авг-17, 15:18 
> Проще посмотреть на амазоне (там бывают недорогие варианты), а потом через Shipito
> переслать в РФ

а потом, приехав побухать с друзьями в LA, неожиданно присесть лет на двадцать? Если, конечно, дома не отсидел уже. Чувак, ты только что предложил нелегально экспортировать криптографическое устройство, а потом нелегально его импортировать. И это тебе не мобильник без идиотской "нотификации", а именно спецжелезка с единственной функцией - не отмажешься.

да, оно очень похоже на флэшку, но случись обострение у любого таможенника - и привет.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

13. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +/
Сообщение от Аноним (??) on 04-Авг-17, 13:15 
> Я думаю google надо запретить публиковать дополнения тем у кого нет второго фактора.

гуглю давно надо запретить выделываться с угрозами немедленно блокировать дополнения и без малейшей возможности обжаловать вердикт робота, поскольку контакты живых людей прячут тщательней, чем агентов ЦРУ.

Или вы настолько не в теме, что не понимаете, почему, получив поддельное письмо, все бросаются срочно логиниться в свой акаунт, не тратя секунд даже на внимательный просмотр ссылки?

Этому разработчику еще повезло - у него были какие-то личные связи. Обычный человек этого "инженера гугль" может десять лет искать. (copyfish-то хоть сейчас, интересно, заблокировали или вернули контроль настоящим разработчикам?)

и да, при мало-мальской грамотности фишера никакая двухфакторка не поможет, ты второй код введешь ровно туда же, куда и первый. И оно радостно авторизуется за тебя.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

21. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +/
Сообщение от Ergil (ok) on 04-Авг-17, 14:03 
> и да, при мало-мальской грамотности фишера никакая двухфакторка не поможет, ты второй
> код введешь ровно туда же, куда и первый. И оно радостно
> авторизуется за тебя.

Хорошо. Введешь. Авторизуется. И тебе придет письмо «Вы только что залогинились с такого-то IPшника», а ты смотришь и понимаешь, что страна-то не твоя, не то что IPшник. Ну и да, однократно может и залогинятся, но повторить аттракцион не удастся.
И это хорошо если тебе гугл вообще даст сходу войти с незнакомого адреса, если у них не сработает защита.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

22. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +/
Сообщение от Аноним (??) on 04-Авг-17, 14:28 
> Хорошо. Введешь. Авторизуется. И тебе придет письмо «Вы только что залогинились с
> такого-то IPшника»

ну так ему и пришло, и он именно тогда и понял, что попал, когда ж еще.
А если двухфакторка позволит отключить двухфакторность за еще одну sms (кто попробует, расскажите?) - то и вовсе все просто - выводим форму один раз - авторизуемся тем что нам туда введут, и показываем ту же самую форму - второй (пользователь думает - ну опечатался в пароле или в коде из sms, ну, бывает, скорей, скорей, пока гугль не забанил плагин, войти и разобраться что случилось) - и получаем второй код, который позволит нам ее выключить нафиг, сменить пароль (именно в этом порядке) и дальше делать что хотим.

> И это хорошо если тебе гугл вообще даст сходу войти с незнакомого адреса, если у них не
> сработает защита.

ну вот мне - даст, потому что для защиты от этого он слишком много хочет про меня знать.
Письмо, разумеется, придет, но не факт что я сразу могу его прочитать.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

31. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +/
Сообщение от анонимно on 04-Авг-17, 16:10 
Ну т.е. вы описываете уж совсем клинический случай. Таких надо банить и по делом.


Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

41. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +/
Сообщение от Аноним (??) on 04-Авг-17, 19:39 
> Ну т.е. вы описываете уж совсем клинический случай.

то есть вы никогда не опечатываетесь, ни в пароле, ни в длинной бессмысленной строчке второго ключа, копируя ее с телефона, и вам насpать, что гугль ваш плагин сейчас забанит вместе с автором, вы еще десять напишете и зарегистрируетесь через тор, можно не торопиться реагировать на предупреждение?

> Таких надо банить и по делом.

правильно, чтоб остались только плагины, которые никому не нужны, включая их авторов, мальчиков с феноменальной зоркостью.

Я, в целом, поддерживаю - кто играет с гуглем на деньги, сам виноват.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

44. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  –1 +/
Сообщение от Аноним (??) on 04-Авг-17, 20:42 
>[оверквотинг удален]
> то есть вы никогда не опечатываетесь, ни в пароле, ни в длинной
> бессмысленной строчке второго ключа, копируя ее с телефона, и вам насpать,
> что гугль ваш плагин сейчас забанит вместе с автором, вы еще
> десять напишете и зарегистрируетесь через тор, можно не торопиться реагировать на
> предупреждение?
>> Таких надо банить и по делом.
> правильно, чтоб остались только плагины, которые никому не нужны, включая их авторов,
> мальчиков с феноменальной зоркостью.
> Я, в целом, поддерживаю - кто играет с гуглем на деньги, сам
> виноват.

у меня есть yubico токен яжепраграммист

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

49. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +/
Сообщение от Аноним (??) on 04-Авг-17, 21:30 
> у меня есть yubico токен яжепраграммист

блин, ты напрограммил убико-токен? А если купил - то где? "официальный представитель" не отвечает на письма частных лиц, американский не желает ничего продавать в РФ, ввозить нелегально криптоустройство - да идите вы дважды нахрен, яжконтрабандист.

Как?

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

34. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +/
Сообщение от Аноним (??) on 04-Авг-17, 17:43 
> И это хорошо если тебе гугл вообще даст сходу войти с незнакомого адреса, если у них не сработает защита.

Какая защита? Если злоумышленник арендует хост в твоём регионе и часовом поясе, как гугл его от тебя отличит?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

42. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +1 +/
Сообщение от Злоумышленник on 04-Авг-17, 19:41 
> Какая защита? Если злоумышленник арендует хост в твоём регионе и часовом поясе,

может мне еще и собственной кредиткой за него заплатить, чтоб совсем уж спалиться?

ломанул гнилую жумлу на vps'е, вот тебе и хост.


Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

26. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  –1 +/
Сообщение от Kodir (ok) on 04-Авг-17, 15:05 
Вот что значит неконтролируемый выход в сеть - СУДИТЬ надо  любую компанию, ПО которой вылезает в Интернет без разрешения автора.
Если бы плагины обновлялись по желанию юзера, инфицированная база была бы стократ меньше.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +1 +/
Сообщение от Anonplus on 04-Авг-17, 15:24 
Чего мелочиться - сразу расстреливать.
Это экстремизм, батенька.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +2 +/
Сообщение от Аноним84701 (ok) on 04-Авг-17, 15:40 
> Если бы плагины обновлялись по желанию юзера, инфицированная база была бы стократ меньше.

А если бы кое-кто (не будем показывать пальцем на хромающего лидера и "законодателя мод" в мире веба, как и на на тройку отстающих-подражателей) вместо встраивания  и дополнения все новыми и разными свистелками и перделками, сделал _нормальную_ aутентификацию,  вместо старого доброго гоняния паролей в плейнтексте ... уводить учетки фишингом стало бы даже без двухфактроной аутентификации намного сложнее.
Но на этом же особо не попиаришься, поэтому лучше сделаем вид, что обертка в виде tls (ssl), в контексте передачи паролей – совсем не костыль, прикрученный скотчем, а как раз для этого и задумывался, угу.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

47. "Злоумышленники получили контроль за Chrome-дополнением с мил..."  +/
Сообщение от AlexYeCu_not_logged on 04-Авг-17, 21:25 
ssh? Не, не слышали.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

54. "Злоумышленники получили контроль над Chrome-дополнением с ми..."  +1 +/
Сообщение от НяшМяш (ok) on 05-Авг-17, 00:48 
Если уж разработчики умудряются свои данные слить добровольно, то простых юзеров даже бить за это не хочется теперь.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

59. "Злоумышленники получили контроль над Chrome-дополнением с ми..."  +/
Сообщение от Аноним (??) on 07-Авг-17, 17:29 
Да лаадна. Быть того не могёт. Дыряв только флеш. Остальные нашлепки на браузеры прочнее брони. Сами браузеры вообще не могут быть дырявыми. Никогда. Ни за что.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

60. "Злоумышленники получили контроль над Chrome-дополнением с ми..."  +/
Сообщение от Аноним (??) on 08-Авг-17, 11:25 
Сарказм это низшая форма юмора.
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

61. "Злоумышленники получили контроль над Chrome-дополнением с ми..."  +/
Сообщение от Аноним (??) on 08-Авг-17, 13:20 
Сарказм - это приём сатиры, высшая степень иронии, он вообще не свойственен юмору.
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру