Доклад на компания за информационна сигурност предава за инцидент, при

...
Доклад на компания за информационна сигурност предава за инцидент, при
Коментари Харесай

Половин милион потребители изтеглили зловредна добавка за Google Chrome

Доклад на компания за осведомителна сигурност предава за случай, при който половин милион души са изтеглили проблематични плъгини за Гугъл Chrome. Според компанията направила разкритието, ICEBERG, зловредната функционалност на добавките е операция на резултатите от търсенията в главните уеб търсачки, кражба на кликове, само че евентуално е да са употребявани и за навлизане в корпоративни мрежи и достъп до конфиденциална информация. Откритието било направено, откакто ICEBERG записват извънредно високи по размер изходни поръчки от системата на клиент на компанията към европейски VPS снабдител. Източникът на тези HTTP поръчки бил към един избран уебсайт и експертите съумели да го свържат с съответна добавка за Chrome, помещаваща се и в магазина на браузъра. Макар и разширението да не съдържало прикрит злотворен код, откривателите разкрили два казуса, които може да доведат до инжектирането на инцидентен JavaScript код чрез добавката. От ICEBERG изясняват, че Гугъл Chrome може да извършва JavaScript код в JSON, само че заради опасения за сигурността, на разширенията им е неразрешено да извличат JSON от външни източници. Те могат да изискат сходно осъществяване единствено посредством Content Security Policy (CSP). Когато това изискване е изпълнено, разширението може да извлече и извърши JSON код от външно следен сървър, което разрешава на приставката да инжектира инцидентен JavaScript код, когато ъпдейт сървъра получи поръчка за това.

След инжектирането, JavaScript кодът основава WebSocket тунел с името на уеб страницата и го използвва, с цел да пренасочи трафика през браузъра на жертвата. „По време на наблюдението ни, атакуващата страна употребява тази опция само за посещаване на свързани с реклама домейни, което приказва за провеждана акция за кликане за полза. Кражбата на кликове оказва помощ на злонамерени лица да завоюват пари чрез системите на жертвите си като карат браузърите им да посещават рекламни уеб сайтове, които заплащат за кликове върху рекламни банери (pay-per-click, PPC). Атаката може и да се употребява обаче за това да се видят вътрешните уеб сайтове в мрежата на жертвата. Change HTTP Request Header обаче, разкрили ICEBERG, не е единственото уголемение, показващо сходно държание. Основните характерности на това уголемение се споделят и от три други известни добавки за Chrome: Nyoogle – Custom Logo for Гугъл, Lite Bookmarks и Stickies – Chrome’s Post-it Notes.

ICEBERG са уведомили Гугъл, холандските и американски CERT екипи, както и консуматори на въпросните разширения.
Източник: kaldata.com

СПОДЕЛИ СТАТИЯТА



Промоции

КОМЕНТАРИ
НАПИШИ КОМЕНТАР