Quali sono gli effetti del dirottamento dell'estensione di Chrome Web Developer?

8

Oggi, il proprietario della sviluppatore web barra degli strumenti ha notato che era stato dirottato e sostituito con una versione dannosa. Ha disabilitato, ma la versione malevola ( diff ) erano già in circolazione da almeno un'ora.

  • Che cosa ha fatto mentre era attivo (oltre all'iniezione di annunci)?
  • Cosa dovrei fare per tenere a bada ulteriori effetti negativi?
    • Devo uscire / uscire dalle sessioni per eventuali webapp? Revocare le chiavi? Cambia password?
posta Michael 02.08.2017 - 17:56
fonte

4 risposte

2

Sostanzialmente hanno sostituito gli annunci pubblicitari e raccolto le credenziali di Cloudflare.

Proof Point ha un articolo con un'analisi approfondita di quello che è successo.

    
risposta data 29.11.2017 - 16:20
fonte
4

Dall'account Twitter che hai collegato, dice l'autore :

I don’t know for sure yet, but it looks like it may have just been adware being injected. I’m still looking into the possible impact.

Hai anche chiesto qualunque cosa dovresti uscire dalle sessioni, revocare le chiavi e cambiare le password. Anche se non ho accesso al codice dannoso e non sono in grado di dire cosa ha fatto il codice, mi sento abbastanza fiducioso nel suggerire di terminare tutte le sessioni (per evitare i dirottamenti di sessione) e di cambiare le password.

Direi che è molto più facile cambiare le password di quelle che dovranno gestire i tuoi account violati.

    
risposta data 02.08.2017 - 18:23
fonte
1

Un'estensione come Web Developer ha accesso praticamente a tutto ciò che accade nel browser. Può leggere tutto il contenuto del sito, può intercettare il traffico, annusare i tasti o qualunque cosa tu possa immaginare. Ecco un bel riassunto .

Ciò che effettivamente ha bisogno di ulteriori analisi. Il proprietario dovrebbe essere in grado di fornire alcuni dettagli, ma è davvero difficile valutarne completamente lo scopo. Ecco perché: l'estensione ha la capacità di iniettare annunci e secondo un tweet ha anche iniettato alcuni contenuti JS che sono cambiati nel tempo.

What should I do to keep further ill-effects at bay?

Bene, è difficile rispondere. Dato il possibile ambito, la scommessa più sicura è quella di modificare qualsiasi password, le chiavi API utilizzate quando l'estensione canaglia era attiva. Anche l'accesso e l'uscita sono una buona idea dato che anche la sessione potrebbe essere stata compromessa. In pratica, tutto ciò che è apparso nel tuo browser mentre l'estensione era attiva poteva essere inoltrato da qualche altra parte.

    
risposta data 02.08.2017 - 18:21
fonte
0

Senza analizzare la versione malevola dell'estensione, è impossibile dire cosa ha fatto. Tuttavia, come estensione, non avrebbe la maggior parte delle limitazioni che si applicano agli script sulle pagine web: ad esempio, la stessa politica di origine non si applica, il che significa che tutti i dati che hai inserito su qualsiasi pagina mentre l'estensione era attivo sul tuo sistema potrebbe essere stato afferrato e inviato all'attaccante.

Chrome fornisce un sacco di altre API alle estensioni che consentono l'accesso ad altri dati all'interno del browser: link Questi includono accesso ai cookie (sia per i siti visitati mentre l'estensione è attiva, sia per quelli memorizzati per altri siti), accesso ai controlli di privacy per il browser, accesso alle impostazioni DNS per il browser e accesso ai dati di geolocalizzazione, senza richiedere un prompt. Non sono sicuro di quale di queste sia stata utilizzata l'estensione per lo sviluppatore web, ma dato l'utilizzo di destinazione per esso, è probabile che possa per lo meno accedere ai dati dei cookie.

Dato che qualsiasi sito in cui hai una sessione attiva, anche se non li hai visitati mentre l'estensione malevola era attiva, avrebbe potuto essere compromesso. Qualsiasi password inserita mentre l'estensione era attiva potrebbe essere stata compromessa. Qualsiasi dato inserito in altri campi (finestre di chat, caselle di ricerca, upload di file) potrebbe essere stato compromesso. Qualsiasi dato mostrato da un sito Web potrebbe essere stato compromesso. E questo è solo dal set minimo di autorizzazioni che l'estensione avrebbe dovuto funzionare!

Se sono state fornite più autorizzazioni (se l'estensione legittima le richiedeva, o se la versione malevola veniva richiesta e le veniva fornita), le possibilità peggiorano. Potrebbe disattivare la modalità di navigazione sicura, quindi non ricevi avvisi su siti Web dannosi rilevati da Google, per uno.

Dipende tutto da quali autorizzazioni ha l'estensione ...

    
risposta data 03.08.2017 - 09:50
fonte

Leggi altre domande sui tag