О вреде обновлений
24 августа 2017
Когда мы на страницах проекта «Антивирусная правДА!» твердим о необходимости установки обновлений, мы, разумеется, имеем в виду легитимные «апдейты» программ, направленные главным образом на повышение уровня безопасности. Но обновления встречаются разные.
Автор дополнения к браузеру Chrome Particle продал уже не развивающееся дополнение компании, которая ранее предлагала сотрудничество в размещении рекламы.
Пользователи дополнения обратили внимание на расширение списка полномочий, которые запрашивает дополнение (добавились запросы на изменение просматриваемых сайтов и управление темами оформления). Разбор ситуации показал, что в дополнение внесены вредоносные изменения, которые осуществляют замену рекламных блоков на популярных сайтах на подставные блоки от новых владельцев дополнения. В том числе заменяется реклама Google, Yahoo, Bing, Amazon, eBay и Booking.com.
Казалось бы, мелочь: одну навязчивую рекламу заменили на другую. Тем не менее такое изменение перевело дополнение в разряд вредоносных – ведь оно начало выполнять действия, которые пользователи от него не ожидали.
Вредоносность в том, что программа делает какую-то неведомую хрень, которую пользователь никак от нее не ожидает.
Проблема не в замене рекламы на другую рекламу, а в замене одного другим без явного уведомления пользователя. Сегодня оно меняет рекламу на рекламу, а завтра форму логина на свою форму для сбора логинов/паролей.
Почему пользователи так встревожились? Как всегда, проблема в уже знакомых нашим читателям Java-скриптах.
Пользуясь тем, что обновления к дополнениям для браузера Chrome устанавливаются молча, без подтверждения пользователя, под видом очередного обновления в браузеры пользователей перекупленного дополнения устанавливается JavaScript-код, совершающий вредоносные действия.
Работающий на стороне пользователя Java-скрипт позволяет злоумышленнику выполнять практически любые действия – от кражи персональной и конфиденциальной информации до загрузки вредоносного кода.
Нечистоплотные дельцы продолжают активно рассылать авторам дополнений предложения о покупке по электронной почте. В настоящее время смена владельца дополнения никак не сказывается на уже установленных доверительных отношениях, т.е. обновление от нового владельца не приведет к выводу каких-либо подтверждений или уведомлений на стороне пользователя. Более того, вредоносная активность включается не сразу после приема обновления, а лишь через несколько дней, что затрудняет выяснение причин изменения характера рекламы на сайтах.
Кстати, о конфиденциальной информации:
Разработчики браузерного дополнения Copyfish предупредили о потере контроля за учетной записью, используемой для распространения дополнения в каталоге Chrome Web Store. Неизвестные злоумышленники захватили контроль за дополнением и выпустили новую версию, в которую встроили вредоносный код, осуществляющий подстановку навязчивых рекламных блоков и всплывающих окон на сайты. Copyfish представляет собой реализацию интегрированной в браузер системы распознавания текста (OCR).
Разработчики Copyfish получили поддельное письмо от имени службы поддержки Chrome Web Store с предупреждением о необходимости устранения выявленных в коде дополнения проблем, в случае неисправления которых дополнение будет удалено из каталога.
В тексте была ссылка на тикет, которая указывала через систему коротких ссылок (bit.ly/2uFiL2o) на подставную форму аутентификации, после которой осуществлялся проброс на страницу обсуждения проблемы на сайте chromedev.freshdesk.com. Ссылка явно не бросалась в глаза, так как письмо было оформлено в HTML. Один из команды разработчиков не заметил подвоха и ввел свои учетные данные в подставной форме аутентификации Google.
На следующий день разработчики обнаружили, что без их ведома была выпущена новая версия 2.8.5, содержащая блоки для подстановки рекламы, а управление дополнением привязано к другому аккаунту. Исправить ситуацию они оказались не в силах, так как доступ к учетной записи был закрыт злоумышленниками.
Как видите, при манипуляциях с обновлениями начать можно с показа рекламы, а затем заняться более масштабным вредительством.
#обновления_безопасности #рекламное_ПО #JavaScript #SpIDer_Gate #браузерАнтивирусная правДА! рекомендует
- Следует различать обновления версии и обновления безопасности. Обновление безопасности необходимо для того, чтобы пользователь мог спокойно работать на компьютере. А вот автоматическая установка обновлений версии – не столь обязательная вещь и может подождать до появления отзывов о новинке.
Меньше дополнений – меньше «дыр».
Хм. Надо бы проверить и поудалять все неиспользуемые дополнения.
Вот прямо сейчас этим и займусь...- Запрет Java-скриптов в браузере существенно снижает возможности злоумышленников.
- В момент установки нового ПО или его обновления на компьютере должен работать антивирус. В Dr.Web загружаемые данные проверяет веб-антивирус SpIDer Gate.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Toma
10:55:07 2018-08-13
Денисенко Павел Андреевич
23:03:02 2018-08-02
Неуёмный Обыватель
21:17:28 2018-06-27
vasvet
19:51:52 2018-04-04
Astra
23:14:26 2017-09-06
Lia00
00:35:53 2017-08-25
Марина
22:50:22 2017-08-24
Конечно, заняться можно чем угодно, только простейший анализ показывает, что обычной рекламой заниматься бесспорно выгодней. Доходы от показов своей рекламы в популярном дополнении на протяжении длительного времени несравнимо превысят возможный заработок от единичной вредоносной атаки. Не говоря уже о том, что за рекламу уголовной ответственности обычно не наступает, в отличие от намеренного вредительства или воровства.
Это не означает, что можно беспечно относиться к данному вопросу, но и преувеличивать опасность тоже, на мой взгляд, не стоит.
Х...р
22:43:02 2017-08-24
DrKV
21:48:49 2017-08-24
Доверяемся антивирусу.
aleks_ku
21:41:02 2017-08-24
Dvakota
21:36:05 2017-08-24
Marsn77
21:21:00 2017-08-24
vla_va
21:15:40 2017-08-24
razgen
20:46:52 2017-08-24
В...а
20:41:14 2017-08-24
razgen
20:17:16 2017-08-24
Геральт
20:04:05 2017-08-24
НинаК
19:53:22 2017-08-24
Тамара
19:19:22 2017-08-24
Шалтай Александр Болтай
18:25:25 2017-08-24
dyadya_Sasha
18:17:35 2017-08-24
Те, кто собственно в обновление ПО и "засунул" какую-либо "гадость" ничего кроме восторженных отзывов(как указывалось ниже) не напишет, а вот кто уже пострадал спросит у кого ещё глюки после обновления пошли. А потом в ответ на жалобы и фирмы анализирующие ПО на зловредность подключаются и результаты анализа, как правило в новостях выкладывают.
К примеру, если ввести "particle для google chrome" найдем много интересного.
Конечно для этого надо, чтобы кто-то уже пострадал. Так ведь и в портале обновлений без пострадавших информации не будет.)
ek
18:02:47 2017-08-24
La folle
17:49:08 2017-08-24
Sasha50
17:08:37 2017-08-24
kva-kva
16:26:23 2017-08-24
PocketSam
16:07:54 2017-08-24
user
15:28:30 2017-08-24
mk.insta
15:27:57 2017-08-24
Alexander
15:05:32 2017-08-24
Родриго
14:55:06 2017-08-24
Littlefish
14:29:48 2017-08-24
Littlefish
14:27:06 2017-08-24
Littlefish
14:24:13 2017-08-24
Для рядовых пользователей конечно это не столь критично.
А на любую накрутку можно придумать антинакрутку :-)
Littlefish
14:01:19 2017-08-24
Неужели Вы и правда полагаете, что Вам напишут правду те, кто собственно в обновление ПО и "засунул" какую-либо "гадость" или возьмут и напишут, что они (эти самые товарищи) "выкатили" "сырое", неоптимизированное, багованное обновление, после установки которого ПО будет глючить и "слетать"? (причём предыдущая версия работала стабильно)
Alexander
13:51:41 2017-08-24
Пaвeл
13:25:57 2017-08-24
Alexander
13:07:16 2017-08-24
А вообще, рассуждения на тему обновлений (легитимных!) всегда будут носить субъективный характер. Одному нравится, другому - нет, причем по разным не пересекающимся критериям и качествам. И тогда спор бессмыслен, - простое сотрясение воздуха и клавиш клавиатуры. Вот и рекомендации Dr.Web к этой статье, с одной стороны - все правильно, но с другой, - есть нюансы и варианты, т.е. неоднозначность. Полностью согласен и поддерживаю только четвертый пункт, - Dr.Web должен работать всегда, в .т.ч. и при установке новых программ и обновлений. Но даже по этому пункту есть сомневающиеся и противники, - но тут уж, кто кому больше доверяет.
AxooxA
11:54:05 2017-08-24
МЕДВЕДЬ
11:14:41 2017-08-24
dyadya_Sasha
09:59:59 2017-08-24
Кто обжегся на молоке теперь на воду дует.
dyadya_Sasha
09:55:37 2017-08-24
Злоумышленник известен, а где громкое показательное судебное заседание с бьющим по карману наказанием, чтобы другим не повадно было?
a13x
09:51:32 2017-08-24
dyadya_Sasha
09:41:22 2017-08-24
Нельзя объять необъятное, хотя это пытаются сделать поисковики. Набрать в поиске имя и версию продукта и всё получить можно. А для обновлений, которые "устанавливаются молча, без подтверждения пользователя" портал обновлений не поможет, тут вся надежда на Доктора.
dyadya_Sasha
09:33:02 2017-08-24
Это конечно правильно, порядок это хорошо. Только вот стол на котором работаешь бывает месяцами не разгрести, что уж о компьютере говорить.)) А вообще кто как приучен. Тапки аккуратно на полочку ставить не у каждого получается.))
Влад
09:31:49 2017-08-24
Natalya_2017
09:10:46 2017-08-24
SGES
09:09:28 2017-08-24
Анатолий
08:59:30 2017-08-24
maestro431
08:33:23 2017-08-24
orw_mikle
08:27:23 2017-08-24