Weer malafide extensies in Chrome Web Store met miljoenen downloads
In de Chrome Web Store zijn weer malafide browser-extensies met miljoenen downloads ontdekt. Sommige van de extensies blijken al jaren in de Store te staan, zo meldt Wladimir Palant, beveiligingsonderzoeker en ontwikkelaar van de bekende adblocker Adblock Plus. Onlangs vond Palant al tientallen malafide apps in de Chrome Web Store die bij elkaar 87 miljoen downloads hadden. Deze extensies injecteerden code op elke door gebruikers bezochte websites.
Palant besloot verder onderzoek te doen en ontdekte weer een reeks dubieuze extensies. Die blijken onder andere gebruikers bij het bezoeken van bepaalde sites naar andere websites door te sturen. Volgens de onderzoeker gaat het om "affiliate fraud", waarbij extensies worden beloond voor het genereren van verkeer naar bepaalde sites. Van de 109 extensies die Palant onderzocht vroegen er 102 toegang tot alle websites die de gebruiker bezoekt, vaak in combinatie met de 'tabs privilege'. Daarmee kunnen de extensies te bezoeken sites detecteren en vervolgens de fraude plegen door de gebruiker naar een andere site door te sturen.
Niet alleen kunnen de extensies een uitgebreid profiel aanleggen van de websites die de gebruiker bezoekt, maar ook het injecteren van JavaScript op bezochte websites is mogelijk. Verder blijkt dat de extensies, die bij elkaar meer dan 62 miljoen gebruikers hebben, in strijd met het beleid van de Chrome Web Store zijn. Zo zijn meerdere extensies nagenoeg identiek aan elkaar en proberen ze zoveel mogelijk permissies als mogelijk te krijgen, terwijl dit niet voor de werking van de extensie is vereist.
Grote sites ontvangen dan ook massaal csp-reports door allerlei plugins die allemaal dingen toevoegen.
Zou fijn zijn als browsermakers daar een einde aan maken.
Zij die ' vrijwel niets kunnen en doen' nemen de beslissingen en krijgen de 'poet'.
#webproxy
Er is overigens nogal wat mis wat betreft best policy configuraties bij heel wat websites.
Men wil voor een dubbeltje op de eerste rang zitten, maar brengt daar wel heel veel eindgebruikers mee in gevaar.
Beter niet (laten) doen, beslissing nemer, want uiteindelijk zit de rekening hiervoor steeds onder in de zak
luntrus
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
