Extensions Google Chrome avec 500 000 téléchargements jugé malveillant

Extensions Google Chrome contenant 500 000 téléchargements malveillantsAgrandirICEBRG

Les chercheurs ont découvert quatre extensions malveillantes avec plus de de 500 000 téléchargements combinés à partir du Google Chrome Web Store, un conclusion qui met en évidence une faiblesse clé dans ce qui est largement considéré être le navigateur le plus sécurisé d’Internet. Google a depuis supprimé les extensions.

Des chercheurs de la société de sécurité ICEBRG sont tombés sur la découverte après détection d’un pic suspect du trafic réseau sortant à venir depuis un poste de travail client. Ils ont vite découvert qu’il était généré par une extension Chrome appelée en-tête de requête HTTP car elle utilisait le Une machine infectée visite subrepticement un site Web lié à la publicité liens. Les chercheurs ont découvert plus tard trois autres disques Chrome extensions – Nyoogle, Stickies et Lite Bookmarks – qui ont beaucoup fait pour même chose. ICEBRG soupçonne que les extensions faisaient partie d’un escroquerie de fraude au clic générant des revenus à partir de récompenses au clic. Mais les chercheurs ont averti que les add-ons malveillants pourraient tout aussi bien ont facilement été utilisés pour espionner les personnes ou les organisations qui les a installés.

“Dans ce cas, la confiance inhérente d’un tiers Google extensions, et le risque accepté du contrôle de l’utilisateur sur ces extensions, a permis à une vaste campagne de fraude de réussir “, ICEBRG Les chercheurs ont écrit dans un rapport publié vendredi. “Dans les mains d’un menace sophistiqué acteur, le même outil et technique pourrait avoir activé une tête de pont dans les réseaux cibles. ”

Google a supprimé les extensions de son Chrome Web Store après L’ICEBRG a rendu ses conclusions à titre privé. ICEBRG a également alerté le Centre national de cybersécurité des Pays-Bas et US CERT. Dans son rapport public, ICEBRG a ensuite expliqué comment le programme malveillant extensions travaillées:

De par sa conception, le moteur JavaScript de Chrome évalue (exécute) Code JavaScript contenu dans JSON. Pour des raisons de sécurité, Chrome empêche la possibilité de récupérer JSON à partir d’un externe source par extensions, qui doivent en demander explicitement l’utilisation via Politique de sécurité du contenu (CSP). Quand une extension active le ‘unsafe-eval’ (Figure 3) pour effectuer de telles actions, il peut être récupérer et traiter le code JSON à partir d’un serveur contrôlé en externe. Cela crée un scénario dans lequel l’auteur de l’extension pourrait injecter et exécuter du code JavaScript arbitraire à tout moment sur le serveur de mise à jour reçoit une demande.

L’extension Change HTTP Request Header télécharge JSON via un fonction appelée ‘update_presets ()’ qui télécharge un blob JSON à partir de ‘change-request [.] info’

Ce n’est en aucun cas la première fois que des extensions Chrome sont utilisées. abusé. Fin juillet et début août, des assaillants inconnus compromis les comptes d’au moins deux extensions Chrome développeurs. Les criminels ont ensuite utilisé leur accès non autorisé � installer automatiquement les mises à jour d’extension qui ont injecté des annonces dans le utilisateurs des sites visités. En août, Renato Marinho, qui est le directeur de la recherche de Morphus Labs et volontaire au SANS Institut, a découvert une escroquerie complexe de fraude bancaire utilisant un extension malveillante dans le Chrome Web Store de Google pour voler des cibles mots de passe.

Chrome est largement considéré comme l’un des plus sûrs d’Internet navigateurs, en grande partie à cause de la disponibilité rapide de les correctifs de sécurité et l’efficacité de son sandbox de sécurité, qui empêche le contenu non fiable d’interagir avec des éléments clés de le système d’exploitation sous-jacent. Diminuer le fait que la sécurité est la menace posée par des extensions malveillantes. Les gens devraient éviter en les installant à moins que les extensions fournissent un avantage réel, et alors seulement après une recherche minutieuse sur le développeur ou une analyse de le code d’extension et le comportement.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: