The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Chrome-дополнение Particle было выкуплено у автора и превращено во вредоносное ПО

14.07.2017 10:33

Автор дополнения Particle, насчитывающего более 30 тысяч установок и предлагающего расширенные настройки для YouTube, обнаружил, что новый владелец проекта интегрировал в дополнение вредоносный код.

Автор Particle начал работать над новым проектом Iridium, нацеленным на создание с нуля нового варианта дополнения для адаптации функциональности к новому оформлению YouTube, поэтому продал уже не развивающееся дополнение компании, которая ранее предлагала сотрудничество в размещении рекламы. Отмечается, что перед продажей автор дополнения наводил справки о компании, но не обнаружил ничего подозрительного. К сожалению, автор не может указать название компании и какие-либо иные детали сделки, так как перед продажей он подписал соглашение о неразглашении информации.

Через некоторое время после продажи пользователи обратили внимание на расширение списка полномочий, которые запрашивает дополнение (добавились запросы на изменение просматриваемых сайтов и управление темами оформления). Разбор ситуации показал, что в дополнение внесены вредоносные изменения, которые осуществляют замену рекламных блоков на популярных сайтах на подставные блоки от новых владельцев дополнения. В том числе заменяется реклама Google, Yahoo, Bing, Amazon, eBay и Booking.com.

Примечательно, что при изучении учётной записи нового владельца (roberthawkinsg) было выявлено ещё три дополнения ("Typewriter Sounds", "Twitch Mini Player" и That's Pretty Good), в которых осуществляется подобная подстановка рекламы. Данные дополнения насчитывают около 200 тысяч установок.

  1. Главная ссылка к новости (https://www.bleepingcomputer.c...)
  2. OpenNews: Создатель вредоносного ПО блокировал отчёт о проблеме под предлогом нарушения авторских прав
  3. OpenNews: Зафиксирована скупка популярных браузерных дополнений для распространения вредоносного кода
  4. OpenNews: В каталоге дополнений к Firefox обнаружен вредоносный код
  5. OpenNews: Дополнение Web of Trust уличено в продаже сведений о посещениях пользователей
  6. OpenNews: Браузерное дополнение Hoverzoom уличено в поставке вредоносного кода
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/46851-adware
Ключевые слова: adware, chrome
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (46) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, anonymous (??), 10:44, 14/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    > в дополнение внесены вредоносные изменения, которые осуществляют замену рекламных блоков на популярных сайтах на подставные блоки от новых владельцев дополнения

    А что такого вредоносного в подмене одной рекламы другой рекламой?

     
     
  • 2.4, A.Stahl (ok), 10:56, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +32 +/
    Проблема не в замене рекламы на другую рекламу, а в замене одного другим без явного уведомления пользователя. Сегодня оно меняет рекламу на рекламу, а завтра форму логина на свою форму для сбора логинов/паролей.
    Вредоносность в подходе, а не в конкретной реализации.
     
     
  • 3.5, anonymous (??), 11:19, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • –25 +/
    Рассуждение уровня "сегодня ты ешь говядину, а завтра начнёшь есть человечину" -  вредоносность в подходе, ага.
     
     
  • 4.8, A.Stahl (ok), 11:30, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Вредоносность в том, что программа делает какую-то неведомую хрень, которую пользователь никак от неё не ожидает.
    Но ты продолжай жевать говядину:)
     
  • 4.10, Аноним (-), 11:46, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Сегодня тебе продали бургер с говядиной, а завтра там окажется человечина. Как-то так.
     
     
  • 5.23, Аноним (-), 13:33, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • –6 +/
    А нечего бургеры покупать на улице. Делай сам, будешь точно знать, что твоих сородичей там не будет.
     
     
  • 6.26, Клыкастый (ok), 14:41, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +10 +/
    > Делай сам

    Ты пишешь это с собственной ОС и браузера или балабол?

     
     
  • 7.27, Аноним (-), 14:55, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Интересно, есть на свете хоть один человек, который сам создал свой комп со своей ОС и бразуером с нуля на железе из компонентов, также разработанных и изготовленных собственноручно с нуля, до последнего диода?
     
     
  • 8.29, Аноним (-), 15:30, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Это вы уже совсем усложняете Давайте просто поищем такой компьютер, который сод... текст свёрнут, показать
     
  • 8.36, Аноним (-), 16:44, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Holy OS есть же, ну Там даже свой Holy C Не говоря уж о всяких других Своё ... текст свёрнут, показать
     
  • 7.28, Аноним (-), 14:57, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Здесь у каждого своя ОС и браузер и каждый сам себе торвальдс. Ну или поттернинг на кривой конец. IT-специалисты высокого уровня собираются, так сказать.


     
     
  • 8.34, _ (??), 16:29, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Что ты сказал Что ты сказал Что ты сказал Ай красава Повтори ещё ... текст свёрнут, показать
     
  • 4.11, XoRe (ok), 11:59, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > Рассуждение уровня "сегодня ты ешь говядину, а завтра начнёшь есть человечину" -
    >  вредоносность в подходе, ага.

    Вы не против, чтобы я получил доступ к вашим электронным почтовым ящикам?
    Я буду удалять письма с неинтересным спамом и заменять их на письма с интересными предложениями.
    Вашу личную переписку я не буду читать, мамой клянусь.
    Хотя... если только чтобы понять, какую рекламу вам было бы интереснее показывать.

     
     
  • 5.13, Аноним (-), 12:04, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Таки Гугл так и поступал с вашим почтовым гугл-ящиком в течении многих лет.


     
     
  • 6.15, heb (?), 12:07, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Таки Гугл так и поступал с вашим почтовым гугл-ящиком в течении многих
    > лет.

    стоило конечно это опционально делать. так-то пусть читает лишь бы карточки в гугл нау подсовывал. ну а в корпорпоративных аккаунтах такое опционально должно быть конечно.

     
     
  • 7.35, _ (??), 16:31, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Они тепереь "мамой клянус" что не делают это для G-Suite аккаунтов ... и вроде как для персональный теперь тоже ...

    Ну а так как я всем верю, то и Гуглу верю тоже ... :)

     
  • 5.37, Аноним (-), 16:46, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Вашу личную переписку я не буду читать, мамой клянусь.
    > Хотя... если только чтобы понять, какую рекламу вам было бы интереснее показывать.

    А если я электронные ящики использую только для хранения кучи спама, а общаться предпочитаю лично?

     
     
  • 6.42, Аноним (42), 23:08, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > а общаться предпочитаю лично?

    И телефона нет? А Ноги от беготни не болят?

     
     
  • 7.45, Аноним (-), 11:44, 15/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лет ддвадцать назад у 95% населения мобильных телефонов не было и ничего, ноги не болели.
     
     
  • 8.49, chinarulezzz (ok), 20:22, 15/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    С распространением средств связи, контактов стало больше, и они находятся в разн... текст свёрнут, показать
     
  • 8.50, Аноним (50), 23:07, 15/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    И по какой же неведомой причине так популярна именно мобильная связь, а не гонцы... текст свёрнут, показать
     
  • 4.21, Аноним (-), 13:22, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Рассуждение уровня "сегодня ты ешь говядину, а завтра начнёшь есть человечину" -  вредоносность в подходе, ага.

    Не важно, что там ест новый хозяин дополнения. Он продаёт место под рекламу, которая наверняка загружается со сторонних ресурсов, и что туда зальют очередные "рекламодатели" — ни ему, ни тем более нам неведомо.

     
  • 3.48, Аноним (-), 17:55, 15/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну дык сайты пихают какю-то неведомую реклму никак не предупреждая, периодически она меняется. и что?
     
  • 2.16, Lain_13 (ok), 12:23, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Даже если мы по какой-то странной причине проигнорируем сам факт того, что дополнение теперь делает совершенно не то, что от него ожидалось и меняет код, посещаемых тобой страниц не так, как должно по описанию, и далеко за пределами тытрубки. Давай рассмотрим что плохого в подмене рекламы.

    Дело в том, что у тех же Google и Bing есть хоть какой-то контроль качества оной (да, хреновый, но есть), а такая вот рекламная сеть мало того, что скорее всего не будет контролировать качество, так ещё и вместо рекламы может прилететь эксплоит-пак. Это с крупными рекламными сетями случается, что уж говорить о таких вот. Т.е. вероятность заражения системы резко возростает.

     

  • 1.2, ыы (?), 10:47, 14/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    не все ли равно пользователю блокирующему рекламу (а это должен делать любой сознательный пользователь) кто у кого там рекламные блоки заменяет?
    в чем вредоносность?
     
     
  • 2.14, heb (?), 12:05, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    реклама которую такие расширения подсовывают не блокируется, потому что расширение её заного рисует после блокировки..

    сознательность блокировки всей рекламы сомнительна. но это самое простое решение, да.

     
  • 2.17, Lain_13 (ok), 12:30, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Аргумент выше не совсем корректен. Дело немного в другом:
    1. Такие расширения обычно не используют популярные рекламные сервера для скачивания контента и потому баннерорезка может быть вообще не в курсе того, что это нужно блокировать.
    2. Расширение может скачивать рекламу раз в сутки и потом вставлять его на страницы самостоятельно, что вообще не будет порождать внешних запросов со страницы, которые можно было бы блокировать, а для скрытия нужно знать что скрывать. И это не говоря уже о десятках способов обхода скрытия в Хроме, которые можно решить только скриптами.
     
  • 2.18, КапОч (?), 12:35, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Весь твой интернет держится на доверии. Одни мамой клянутся, что конкурентам сертификаты от твоего сайта не подпишут; другие, что за пределы тытуба не полезут и не будут подменять формочки на сайте.

    Ты доверяешь автору расширения, ставишь его и радуешься. Автор продаёт расширение кому-то, этот кто-то добавляет в экстеншн кейлогер. Ты всё ещё радуешься, а твой браузер тебе молча обновил расширение, и даже не сообщил о том, что расширение теперь не от доверенного Васи, а от недоверенного тобой.

    За такое и браузеру нужно по голове надавать, и автору-продавашке.

     
     
  • 3.19, Аноним (-), 12:58, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Факт. С теперешней модой на разговоры про безопасность всего и везде, пора бы уже начинать предупреждать что сменился владелец, чтобы ты уже сам дальше смотрел/думал надо ли оно тебе. Плюс, по-хорошему - гугл должен бы уделять более пристальное внимание какое-то время после таких событий как смена владельца например
     
  • 3.30, Аноним (-), 15:36, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А ведь здесь с полным правом можно воскликнуть: Это СПО, детка! Это вам не чётко регламентированные, с подробно расписанной картой выключателей, зонды от МС.


     
     
  • 4.32, Аноним84701 (ok), 15:55, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А ведь здесь с полным правом можно воскликнуть: Это СПО, детка!

    https://github.com/ParticleCore/Particle/blob/master/LICENSE
    > Contact for permissions other than the use of the software and its contents for non-comercial personal purposes, such as, and not limited to:
    >  - Use of the software for its intended purpose
    > - Use of the source code for learning and teaching purposes
    > - Use of the software and its source code for sharing without unauthorized third party modifications
    >   with included easily visible linkbacks directing to the source of the original file(s) location(s) or main directory

    Не тянет оно как-то на СПО.

    > Это вам не чётко регламентированные, с подробно расписанной картой выключателей, зонды от МС.

    Правда, иногда выключатели -  просто красивая, громко щелкающая бутафория :)
    https://arstechnica.com/information-technology/2015/08/even-when-told-not-to-w
    > For example, even with Cortana and searching the Web from the Start menu disabled, opening Start and typing will send a
    > request to www.bing.com to request a file called threshold.appcache which appears to contain some Cortana information,
    > even though Cortana is disabled. The request for this file appears to contain a random machine ID that persists across
    > reboots.
    >

     

  • 1.3, metakeks (?), 10:47, 14/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Ниразу не удивило.
     
  • 1.20, Аноним (-), 13:08, 14/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Любое дополнение подменяет контент страницы. Ну, собственно, для этого и нужен механизм дополнений. Я думаю, проблема не в том, что что-то там теперь на что-то не то подменяется, проблема в том, что автор продал, а пользователи оказались не в курсе.
     
  • 1.22, Аноним (-), 13:26, 14/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Такое происходит сплошь и рядом. Единственное оригинальное в этой новости — что исходному автору оказалось не совсем пофиг (хотя, может быть, он просто решил таким образом прорекламировать своё новое расширение, чтобы потом продать и его).
     
     
  • 2.39, mumu (ok), 18:44, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее показать что "я-ни-ф-чём-не-виновата". Правда факт подписания подобного очень странного соглашения выдаёт с потрахами то, что он был прекрано в курсе тёмных делишек.
     
     
  • 3.41, Lain_13 (ok), 21:40, 14/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Бритва Хэнлона.
     

  • 1.24, robot228 (?), 14:07, 14/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Лучше скажите как автоматом скачивать, в фоне, расширения из магазина на локальный диск?
     
  • 1.25, KOT040188 (ok), 14:31, 14/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Автор Particle начал работать над новым проектом Iridium

    Ну наконец-то! Хоть кто-то! А то я уже отчаялся…

     
  • 1.31, Аноним (-), 15:52, 14/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Про что речь в теме? Про расширение YouTube Plus? Если про него, стоит удалить (Firefox) его? И что за Iridium, это клон YouTube Plus?
     
  • 1.43, Аноним (43), 23:14, 14/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В том числе заменяется реклама Google, Yahoo, Bing...

    Вот где собака зарыта.

     
  • 1.44, iPony (?), 07:52, 15/07/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Отличное название выбрал для своего нового расширения.
    Фантазии мало...
    https://iridiumbrowser.de/
     
     
  • 2.47, Кек (?), 14:23, 15/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Отличное название выбрал для своего браузера.
    Фантазии мало...
    https://en.wikipedia.org/wiki/Iridium
     
     
  • 3.51, soarin (ok), 05:29, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    И что? Причем тут химический элемент.
    По запросу "chrome iridium" у тебя его не будет.
    А что расширение iridium для chrome, что браузер iridium на технологиях chromium находятся в одной области.
     
     
  • 4.52, Аноним (-), 13:42, 16/07/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И что? Причем тут химический элемент.
    > По запросу "chrome iridium" у тебя его не будет.

    По такому запросу у тебя вся периодическая таблица будет первым результатом.

     
  • 2.53, Аноним (-), 09:25, 18/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    тож самое хотел написать. https://duckduckgo.com/?q=Iridium+chrome  зачем в той же сфере использовать то же название? надеюсь ему кто-нибудь подскажет так не делать.
     

  • 1.54, Аноним (-), 10:03, 30/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А сейчас этот погромист вставил майнер в дополнение.. на этот раз сам.
    https://github.com/ParticleCore/Iridium/issues/189

    До чего жадность доводит...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру