Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (27)
  • добавить в избранное
    Добавить в закладки

О вреде обновлений

Прочитали: 3584 Комментариев: 104 Рейтинг: 104

Когда мы на страницах проекта «Антивирусная правДА!» твердим о необходимости установки обновлений, мы, разумеется, имеем в виду легитимные «апдейты» программ, направленные главным образом на повышение уровня безопасности. Но обновления встречаются разные.

Автор дополнения к браузеру Chrome Particle продал уже не развивающееся дополнение компании, которая ранее предлагала сотрудничество в размещении рекламы.

Пользователи дополнения обратили внимание на расширение списка полномочий, которые запрашивает дополнение (добавились запросы на изменение просматриваемых сайтов и управление темами оформления). Разбор ситуации показал, что в дополнение внесены вредоносные изменения, которые осуществляют замену рекламных блоков на популярных сайтах на подставные блоки от новых владельцев дополнения. В том числе заменяется реклама Google, Yahoo, Bing, Amazon, eBay и Booking.com.

https://www.opennet.ru/opennews/art.shtml?num=46851

Казалось бы, мелочь: одну навязчивую рекламу заменили на другую. Тем не менее такое изменение перевело дополнение в разряд вредоносных – ведь оно начало выполнять действия, которые пользователи от него не ожидали.

Вредоносность в том, что программа делает какую-то неведомую хрень, которую пользователь никак от нее не ожидает.

Проблема не в замене рекламы на другую рекламу, а в замене одного другим без явного уведомления пользователя. Сегодня оно меняет рекламу на рекламу, а завтра форму логина на свою форму для сбора логинов/паролей.

https://www.opennet.ru/opennews/art.shtml?num=46851

Почему пользователи так встревожились? Как всегда, проблема в уже знакомых нашим читателям Java-скриптах.

Пользуясь тем, что обновления к дополнениям для браузера Chrome устанавливаются молча, без подтверждения пользователя, под видом очередного обновления в браузеры пользователей перекупленного дополнения устанавливается JavaScript-код, совершающий вредоносные действия.

https://www.opennet.ru/opennews/art.shtml?num=38882

Работающий на стороне пользователя Java-скрипт позволяет злоумышленнику выполнять практически любые действия – от кражи персональной и конфиденциальной информации до загрузки вредоносного кода.

Нечистоплотные дельцы продолжают активно рассылать авторам дополнений предложения о покупке по электронной почте. В настоящее время смена владельца дополнения никак не сказывается на уже установленных доверительных отношениях, т.е. обновление от нового владельца не приведет к выводу каких-либо подтверждений или уведомлений на стороне пользователя. Более того, вредоносная активность включается не сразу после приема обновления, а лишь через несколько дней, что затрудняет выяснение причин изменения характера рекламы на сайтах.

https://www.opennet.ru/opennews/art.shtml?num=38882

Кстати, о конфиденциальной информации:

Разработчики браузерного дополнения Copyfish предупредили о потере контроля за учетной записью, используемой для распространения дополнения в каталоге Chrome Web Store. Неизвестные злоумышленники захватили контроль за дополнением и выпустили новую версию, в которую встроили вредоносный код, осуществляющий подстановку навязчивых рекламных блоков и всплывающих окон на сайты. Copyfish представляет собой реализацию интегрированной в браузер системы распознавания текста (OCR).

Разработчики Copyfish получили поддельное письмо от имени службы поддержки Chrome Web Store с предупреждением о необходимости устранения выявленных в коде дополнения проблем, в случае неисправления которых дополнение будет удалено из каталога.

В тексте была ссылка на тикет, которая указывала через систему коротких ссылок (bit.ly/2uFiL2o) на подставную форму аутентификации, после которой осуществлялся проброс на страницу обсуждения проблемы на сайте chromedev.freshdesk.com. Ссылка явно не бросалась в глаза, так как письмо было оформлено в HTML. Один из команды разработчиков не заметил подвоха и ввел свои учетные данные в подставной форме аутентификации Google.

На следующий день разработчики обнаружили, что без их ведома была выпущена новая версия 2.8.5, содержащая блоки для подстановки рекламы, а управление дополнением привязано к другому аккаунту. Исправить ситуацию они оказались не в силах, так как доступ к учетной записи был закрыт злоумышленниками.

http://www.opennet.ru/opennews/art.shtml?num=46945

Как видите, при манипуляциях с обновлениями начать можно с показа рекламы, а затем заняться более масштабным вредительством.

#обновления_безопасности #рекламное_ПО #JavaScript #SpIDer_Gate #браузер

Dr.Web рекомендует

  1. Следует различать обновления версии и обновления безопасности. Обновление безопасности необходимо для того, чтобы пользователь мог спокойно работать на компьютере. А вот автоматическая установка обновлений версии – не столь обязательная вещь и может подождать до появления отзывов о новинке.
  2. Меньше дополнений – меньше «дыр».

    Хм. Надо бы проверить и поудалять все неиспользуемые дополнения.
    Вот прямо сейчас этим и займусь...

    https://www.opennet.ru/opennews/art.shtml?num=38882

  3. Запрет Java-скриптов в браузере существенно снижает возможности злоумышленников.
  4. В момент установки нового ПО или его обновления на компьютере должен работать антивирус. В Dr.Web загружаемые данные проверяет веб-антивирус SpIDer Gate.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: