image

Acht Chrome-extensies gehackt en voorzien van adware

woensdag 16 augustus 2017, 09:57 door Redactie, 11 reacties

Aanvallers hebben de afgelopen weken acht extensies voor Google Chrome gehackt en voorzien van adware. Bij elkaar hebben de extensies 4,6 miljoen installaties. Het was al bekend dat de extensies Copyfish en Web Developer waren gehackt, maar nu blijkt er ook kwaadaardige code aan Chrometana, Infinity New Tab, Web Paint, Social Fixer, TouchVPN en Betternet VPN te zijn toegevoegd.

Dat meldt securitybedrijf Proofpoint. Aanvallers verstuurden phishingmails naar de ontwikkelaars dat hun extensie uit de Chrome Web Store verwijderd zou worden omdat die niet meer aan het beleid zou voldoen. De link in de e-mail wees naar een phishingpagina. Extensie-ontwikkelaars die op de pagina inlogden verstuurden zo hun inloggegevens van het ontwikkelaarsaccount naar de aanvallers.

Die konden zo toegang tot de extensie krijgen en die van kwaadaardige code voorzien. Aangezien Chrome-extensies automatisch worden bijgewerkt, kregen alle gebruikers de adware toegestuurd. De adware injecteerde advertenties en pop-ups, die gebruikers lieten geloven dat hun computer moest worden gerepareerd. Vanwege de phishingaanvallen besloot Google ontwikkelaars te waarschuwen.

Reacties (11)
16-08-2017, 10:05 door Anoniem
En chrome extensions gaan dus ook werken in Firefox binnenkort. Best handig, dat alle browsers straks hetzelfde werken en niet elke browser apart aangevallen hoeft te worden door criminelen.
16-08-2017, 12:07 door Briolet
De link in de e-mail wees naar een phishingpagina. Gebruikers die op de pagina inlogden verstuurden zo hun inloggegevens van het ontwikkelaarsaccount naar de aanvallers.

Let wel, dit zijn niet gewoon domme, argeloze burgers met weinig kennis van computers. Het zijn programmeurs die er in trappen. En ook nog programmeurs die veel van browsers weten en dus helemaal moeten weten hoe simpel je een nep-pagina kunt maken.
16-08-2017, 13:39 door Whacko
Door Briolet:
De link in de e-mail wees naar een phishingpagina. Gebruikers die op de pagina inlogden verstuurden zo hun inloggegevens van het ontwikkelaarsaccount naar de aanvallers.

Let wel, dit zijn niet gewoon domme, argeloze burgers met weinig kennis van computers. Het zijn programmeurs die er in trappen. En ook nog programmeurs die veel van browsers weten en dus helemaal moeten weten hoe simpel je een nep-pagina kunt maken.

Ja inderdaad, en dan vraag ik me toch wel af hoe zo'n mail eruit ziet dat het toch wel heel overtuigend overkomt.
16-08-2017, 13:51 door Anoniem
Je kunt gewoon tijdens een internetsessie de extensie die je nodig hebt toevoegen aan Chrome, gebruiken, en weer verwijderen. Dan loop je in ieder geval geen risico op malware door automatisch bijwerken.
Bijvoorbeeld met Soundcloud Downloader Free gaat dat prima.
16-08-2017, 14:24 door Goeroeboeroe
Mozilla had twee argumenten voor het nieuwe model voor extensies. Uitwisselbaarheid met o.a. Chrome en veiligheid. Het argument van de veiligheid lijkt me hiermee echt definitief naar de prullenmand verwezen te kunnen worden.
16-08-2017, 16:31 door Anoniem
Door Anoniem: En chrome extensions gaan dus ook werken in Firefox binnenkort. Best handig, dat alle browsers straks hetzelfde werken en niet elke browser apart aangevallen hoeft te worden door criminelen.
Ja, erg handige oplossing, nog meer chaos in dev-land, security by obscurity, wat een onzin.

TheYOSH
17-08-2017, 00:03 door rct
Door Anoniem: En chrome extensions gaan dus ook werken in Firefox binnenkort. Best handig, dat alle browsers straks hetzelfde werken en niet elke browser apart aangevallen hoeft te worden door criminelen.
Door Goeroeboeroe: Mozilla had twee argumenten voor het nieuwe model voor extensies. Uitwisselbaarheid met o.a. Chrome en veiligheid. Het argument van de veiligheid lijkt me hiermee echt definitief naar de prullenmand verwezen te kunnen worden.
Jullie snappen er werkelijk geen zak van. Mozilla maakt de APIs beschikbaar die in Chrome zijn, maar behoudt het reviewproces gewoon. Er is al meermaals op Reddit gepost dat diverse Chrome extensies gehacked werden, maar dit niet gebeurde omdat de gecompromitteerde versie nooit gesubmit is voor Firefox gebruikers, of omdat deze update nooit door het reviewproces heen is gekomen (No Surprises policy).
17-08-2017, 04:27 door Anoniem
En wat doen we hier aan?
17-08-2017, 14:22 door Anoniem
Door Anoniem: En wat doen we hier aan?
Geen Chrome-extensies gebruiken, dat doen we eraan.
17-08-2017, 14:51 door Goeroeboeroe
[Verwijderd]
17-08-2017, 14:56 door Goeroeboeroe - Bijgewerkt: 17-08-2017, 14:57
Door rctgamer3:
Door Anoniem: En chrome extensions gaan dus ook werken in Firefox binnenkort. Best handig, dat alle browsers straks hetzelfde werken en niet elke browser apart aangevallen hoeft te worden door criminelen.
Door Goeroeboeroe: Mozilla had twee argumenten voor het nieuwe model voor extensies. Uitwisselbaarheid met o.a. Chrome en veiligheid. Het argument van de veiligheid lijkt me hiermee echt definitief naar de prullenmand verwezen te kunnen worden.
Jullie snappen er werkelijk geen zak van. Mozilla maakt de APIs beschikbaar die in Chrome zijn, maar behoudt het reviewproces gewoon. Er is al meermaals op Reddit gepost dat diverse Chrome extensies gehacked werden, maar dit niet gebeurde omdat de gecompromitteerde versie nooit gesubmit is voor Firefox gebruikers, of omdat deze update nooit door het reviewproces heen is gekomen (No Surprises policy).
Ik weet er natuurlijk geen zak van, maar toch.
In het verleden heb ik regelmatig extensies gemeld bij Mozilla, omdat ze (vermomde) malware bleken te zijn. Ik ben daarmee gestopt, omdat de voorlaatste keer pas iets werd gedaan door Mozilla nadat ik het publiek had gemaakt, en de laatste keer helemaal niet meer werd gereageerd op mijn (goed onderbouwde) waarschuwing. Alle eerdere meldingen bleken wel te kloppen en leidden tot ingrijpen van Mozilla, dus ze konden me niet als 'n malloot zien die voortdurend rare waarschuwingen deed.
Dit heeft mijn vertrouwen in het argument 'veiligheid' bij extensies in Firefox iets verminderd, om het netjes te zeggen.
In al deze gevallen ging het om malware die werd geïnjecteerd in de pagina van de site, met behulp van JavaScript, iframes, e.d. Deze mogelijkheid blijft in het nieuwe systeem gewoon bestaan.
Maar of ik er nou 'n zak van weet of niet: veiligheid was toch echt één van de twee belangrijkste argumenten van Mozilla. De interface moest (vrijwel) niet meer te wijzigen zijn, vanwege de veiligheid. Terwijl er bij mijn weten nog nooit 'n extensie is geweest die de interface misbruikte voor malware.
Bij het nieuwe model van Web Extensies kan de interface (vrijwel) niet meer worden aangepast, maar de html e.d. kunnen nog wel worden aangepast.
Google heeft een review proces. Mozilla ook. Nu gaan ze (vrijwel) dezelfde extensies gebruiken. En nu blijkt dat in bij Google 'n aantal extensies is aangetroffen, waarin malware zit. Waaruit blijkt dat het probleem van onveilige extensies dus (helaas) niet is opgelost. Ook zonder aanpassingen aan de interface blijkt dat te kunnen.
Maar kunt u mij, gewone sterveling-die-er-geen-zak-van-begrijpt, o Grote Geest, uitleggen wat er mis is aan dit verhaal? Ik ben zelf namelijk te dom om te begrijpen, waar ik geen zak van begrijp. Dus als u, Grote Geest, zo vriendelijk zou zijn dat aan deze domkop uit te leggen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.