Поставщики Adware ввели в практику новый метод распространения вредоносного программного обеспечения. Суть метода состоит в скупке популярных браузерных дополнений у авторов, которые устали заниматься проектом и не получают от него должную отдачу. Затем, пользуясь тем, что обновления к дополнениям для браузера Chrome устанавливаются молча, без подтверждения пользователя, под видом очередного обновления в браузеры пользователей перекупленного дополнения устанавливается JavaScript-код, совершающий вредоносные действия.

Подобная участь постигла пользователей дополнений "Add to Feedly" и "Tweet This Page". В первом случае, примерно через месяц после продажи, более 30 тысяч пользователей дополнения "Add to Feedly" получили обновление, которое осуществляло подстановку рекламы во все просматриваемые в браузере страницы и организовывало принудительное открытие рекламных страниц при нажатии на ссылки. Похожий случай произошёл и с дополнением "Tweet This Page", пользователи которого в один прекрасный момент столкнулись с подстановкой фиктивных блоков в результаты поисковой выдачи Google.

Судя по всему, подобная практика не ограничивается упомянутыми выше дополнениями - нечистоплотные дельцы продолжают активно рассылать авторам дополнений предложения о покупке по электронной почте. В настоящее время смена владельца дополнения никак не сказывается на уже установленных доверительных отношениях, т.е. обновление от нового владельца не приведёт к выводу каких-либо подтверждений или уведомлений на стороне пользователя. Более того, вредоносная активность включается не сразу после приёма обновления, а лишь через несколько дней, что затрудняет выяснение причин изменения характера рекламы на сайтах.

Большинство пользователей не заподозрят уже проверенное дополнение и будут списывать появление лишней навязчивой рекламы на неуважительные к посетителям действия владельцев сайтов. При подозрительном изменении характера рекламы на сайтах пользователю рекомендуется ознакомиться с последними рецензиями других пользователей на страницах применяемых дополнений и поэкспериментировать с оценкой изменения показа рекламы при последовательном отключении дополнений.

Зафиксирована скупка популярных браузерных дополнений для распространения вредоносного кода

По сути, история простая. Жила-была масса полезных дополнений. Энтузиасты потратили тысячи человеко-часов на их разработку и допиливание. И тут неожиданно объявились добрые люди, которые предложили разработчикам обменять их труд на деньги. Кто бы не согласился?
Как говорится, ничего не предвещало.

Однако, по факту "добрые люди" оказались пидарасами, их деньги оказались "срубленными" спамерством, а десятки полезных дополнений превратились в спамерское говно. Добавлением одной строчки прыщавого быдлокодера.

И если с гугловским Хромом всё понятно (он сам по себе одно большое шпионское дополнение), относительно честно (в конце концов, гугль получает дивиденды за проделанный труд и не скрывает этого) и сторонний шпионаж особой погоды не делает (для пользователя, но не по сути), то вовлечение Файрфокса выглядит особенно грустным.

Внимание!
Опытными участниками этого форума и не только обнаружено, что расширения Abduction, Autocopy, BlockSite, BrowserProtect, Copy Link Name, Custom News, FabTabs, Facebook Notifications, Fasterfox Lite, Ghostery, Handy Maps, NoScript, Quick Locale Switcher, Simple Adblock, Youtube™ Search, Weather Now, Wiki собирают якобы анонимную информацию о том, что вы делаете в сети Интернет.

Внимание! Шпионские дополнения и их аналоги

По последней ссылке — постоянно обновляющийся список скомпрометированных дополнений и список "чистых" дополнений, которыми их можно заменить.

Через дополнения можно не только распространять рекламный мусор, но и, к примеру, вести лог клавиатуры. Подсматривать переписку, воровать пароли, шантажировать пользователей...
И спамеры, и разработчики браузеров это прекрасно понимают. Так что впереди нас ждёт грандиозный передел всей структуры дополнений.


hwp
2014.01.22 15:50:38
#cid85486

Ответить

Какие изобретательные гомосексуалисты. И NoScript туда же, теперь думаю, что вместо него использовать.

imen
2014.01.22 16:42:59
#cid85488

Ответить

#cid85486, hwp

Какие изобретательные гомосексуалисты. И NoScript туда же, теперь думаю, что вместо него использовать.

Можно подумать, это первый инцидент с NoScript'ом… К тому же фича отключаемая. А из _теоретической_ возможности её использования не по назначению ещё не следует злого умысла разработчика.

Повод для претензий ("прямота" цитирования, вынуждающая использовать блок в гуглопереводчике вместо пруфа свидетельствует конечно сугубо в пользу обвинения):
The NoScript add-on and the noscript.net web site dont collect any personal identifiable data about their users.

The "Site Info" feature, introduced in NoScript 1.9.9.60, provides privacy and security information about web sites shown in the NoScript menu, as soon as user middle-clicks or shift clicks one of them: when activated, after a one-time explanatory prompt, it sends a query containing the site domain to http://noscript.net. Also in this case, the data sent is used only to provide the Site Info page and its not stored nor shared nor reused.

NoScript 2.0rc5 and above extends its protection against DNS rebinding to those attacks which specifically target your routers external (WAN) IP address. In order to protect it, NoScript needs to detect the WAN IP currently exposed to internet web sites by your HTTP requests: for this purpose, NoScript sends a completely anonymous query to the https://secure.informaction.com/ipecho web service, which provides back this information on a secure channel, typically once a day. Again, no data except the aforementioned WAN IP address travels on the secure channel, and no user data at all is collected, nor stored, nor shared nor reused by InformAction or any other party.
This feature, enabled by default, can be disabled by unchecking "NoScript Options|Advanced|ABE|WAN IP ∈ LOCAL".

И поднявшие бучу товарищи тоже… изрядные халявщики: нет, чтобы оформить внятное досье по каждому из хотя бы приводимого списка…

ЗЫ: ++ к рейтингу Midori (где потребные фичи интегрируются на уровне дистрибутива). А флеш-видео надо грабить специальными приложениями.

imen
2015.04.11 21:52:54
#cid90473

Ответить

Прекрасный пример неологизма:

От 20 до 30 тысяч клиентов Сбербанка в регионах России стали жертвами мошенничества. Об этом сообщает агентство FlashNord со ссылкой на свои источники в МВД России.
В полиции пояснили, что все пострадавшие пользовались смартфонами с операционной системой Android, зараженными вирусом. Троян похищал деньги с привязанных к телефонным номерам банковских карт. При этом программа блокировала входящие сообщения от банка, что не позволяло клиентам узнать о списании средств.

Между тем в CNews утверждают, что троян распространяется через «сайты для взрослых». При заходе на них с Android-устройства пользователю предлагается установить фальшивый Flash-проигрыватель. Далее, если пользователь предоставляет приложению права администратора, программа начинает отправлять SMS-сообщения на закрепленный за Сбербанком номер «900».
… При этом, по его словам, «Сбербанк занял хитрую позицию», так как в банке считают, что ответственность за использование платформы Android без антивирусной защиты лежит на клиенте.

http://lenta.ru/news/2015/04/11/troyn/

Воспитанный на платформе самой распространённой ОС пользователь получил… наглядную демонстрацию недопустимости нарушения Главного Правила http://www.gentoo.ru/node/14443

Если Вы ставите программы или драйвера руками… или используете установщики производителя…, то не надо просить помощи на форуме или писать в … Bugzilla. Вы и только Вы сломали свою систему. Здесь Вам, как говорится, не тут, и тем более не Microsoft® Windows™.
Надеемся, в следующий раз Вы будете умнее…

На первый взгляд группа заинтересованных товарищей (главный конкурент и разработчики легитимных вирусов) тут ни при чём… ☺
Ну и восхитимся зияющими высотами технической грамотности господ журнаглистов.
Хотя общеизвестно, что пользователю Линукса недостаточно скачть, скомпиллировать и запустить с достаточными правами вредоносную программу, обычно надо ещё и ядро пропатчить.