Рекламные блокировщики, установленные 300000 раз, являются вредоносными и должны быть удалены сейчас

Getty Images

Яндекс

Согласно техническому анализу и публикациям на Github, расширения для блокировки рекламы с более чем 300000 активных пользователей тайно загружают данные о просмотрах пользователей и подделывают их учетные записи в социальных сетях благодаря вредоносному ПО, которое его новый владелец представил несколько недель назад.

Instagram likes

Сирил Горлла

Хьюго Сюй, разработчик расширений Nano Adblocker и Nano Defender, сказал 17 дней назад что у него больше не было времени поддерживать проект, и он продал права на версии, доступные в Google Chrome Web Store. Сюй сказал мне, что Nano Adblocker и Nano Defender, которые часто устанавливаются вместе, имеют всего около 300 000 установок.

Четыре дня назад Раймонд Хилл, создатель расширения uBlock Origin, на котором основан Nano Adblocker, сообщил, что новые разработчики выпустили обновления, которые добавлен вредоносный код.

Первое, что Хилл заметил, что новое расширение проверяет, открыл ли пользователь консоль разработчика. Если он был открыт, расширение отправляло файл с названием «отчет» на сервер по адресу https://def.dev-nano.com/. «Проще говоря, расширение удаленно проверяет, используете ли вы инструменты разработки расширений — что вы бы сделали, если бы захотели узнать, что делает расширение», — написал он.

Самым очевидным изменением, которое заметили конечные пользователи, было то, что зараженные браузеры автоматически ставили лайки для большого количества публикаций в Instagram без участия пользователей. Сирил Горлла, исследователь искусственного интеллекта и машинного обучения из Калифорнийского университета в Сан-Диего, сказал мне, что его браузеру понравилось более 200 изображений из аккаунта Instagram, который ни на кого не подписан. На снимке экрана справа показаны некоторые из задействованных фотографий.

Читайте также:
Акция: это один из последних шансов купить OnePlus 8 так дешево!

Nano Adblocker и Nano Defender — не единственные расширения, которые, как сообщается, вмешиваются в учетные записи Instagram. User Agent Switcher, расширение, у которого было более 100 000 активных пользователей, пока Google не удалил его в начале этого месяца, как сообщается, имеет сделал то же самое.

Многие пользователи расширений Nano в этот форум сообщили, что их зараженные браузеры также получают доступ к учетным записям пользователей, которые еще не были открыты в их браузерах. Это привело к предположению, что обновленные расширения получают доступ к файлам cookie аутентификации и используют их для получения доступа к учетным записям пользователей. Хилл сказал, что он просмотрел часть добавленного кода и обнаружил, что он загружает данные.

«Поскольку добавленный код мог собирать заголовки запросов в режиме реального времени (я полагаю, через соединение через веб-сокет), это означает, что конфиденциальная информация, такая как файлы cookie сеанса, может просочиться», — написал он в сообщении. «Я не эксперт по вредоносным программам, поэтому я не могу придумать * все *, что возможно при наличии доступа в реальном времени к заголовкам запросов, но я понимаю, что это действительно плохо».

Другие пользователи сообщали, что в некоторых случаях доступ к другим сайтам, помимо Instagram, также был изменен, даже если пользователь не заходил на сайт, но эти утверждения не могли быть немедленно проверены.

Алексей, старший технический специалист Electronic Frontier Foundation, который работает над расширением Privacy Badger, следил за обсуждениями и предоставил мне следующий синопсис:

Суть в том, что расширения Nano были обновлены, чтобы тайно загружать данные о ваших просмотрах с возможностью удаленной настройки. Возможность удаленной настройки означает, что не было необходимости обновлять расширения, чтобы изменить список веб-сайтов, данные которых будут украдены. Фактически, список веб-сайтов в настоящее время неизвестен, поскольку он был настроен удаленно. Однако есть много сообщений о том, что аккаунты пользователей в Instagram были затронуты.

Собранные на сегодняшний день доказательства показывают, что расширения тайно загружают данные пользователей и получают несанкционированный доступ по крайней мере к одному веб-сайту в нарушение условий обслуживания Google и вполне возможно применимых законов. Google уже удалил расширения из Интернет-магазина Chrome и предупредил, что они небезопасны. Любой, у кого было установлено какое-либо из этих расширений, должен немедленно удалить их со своих машин.

Читайте также:
Они думали, что обнаружили поддельные AirPods. Вместо этого они конфисковали оригинальные бутоны OnePlus - MobilMania.cz