Hack remoto del mio computer tramite Chrome utilizzando l'account Google

3

Ho postato questo su Google ieri, ma penso che meriti maggiore visibilità. Se ciò che penso potrebbe essere accaduto, in realtà è accaduto, quindi Chrome potrebbe non essere sicuro:

Qualcosa di strano è successo ieri mattina e sto cercando di capirlo.

Ho un Windows 2012 Server che ospita macchine virtuali, ma ieri volevo solo fare una rapida ricerca sui tipi di malta e non ho fatto il login in una VM. Symantec è installato (12.1.5 - sì, lo so che è vecchio) e visita solo siti WOT verdi. Ho aperto alcuni risultati di ricerca in schede e ho iniziato a esaminarli. Poi, all'improvviso, Chrome ha iniziato a girare pagine e avevo un messaggio che Chrome stava scaricando e installando qualcosa. Poi ho notato che era collegato a un account Google. era l'account per l'assistente del mio direttore di proprietà (vivo in un condominio). Ho usato il task manager per eliminare Chrome immediatamente e tutto si è fermato. Ho Chrome 59.0.3071.115 sul mio server, ma sembra che abbia appena scaricato un aggiornamento.

Non riuscivo a capire come diavolo l'assistente del gestore di proprietà avrebbe potuto accedere al mio server e quindi perché avrebbe fatto il login in chrome. Ho controllato e Symantec era in esecuzione. Ho controllato il mio router firewall e RDP era ancora disabilitato sul server, più questa era la console di amministrazione e perché un hacker avrebbe dovuto fare qualcosa di così ovvio? Chiudo sempre il mio schermo (vecchia abitudine) quando esco dalla mia scrivania, anche se io e mia moglie abitiamo qui - e uno di noi è quasi sempre a casa. [Inoltre la sessione si blocca dopo un timeout di 15 minuti.] Non c'è modo che qualcuno abbia avuto accesso fisico a meno che non abbia preso la chiave master ed è entrata mentre eravamo addormentati, ma sarebbe stato davvero stupido. [E sarebbe quasi impossibile per chiunque altro conoscere la mia password.] Anche così, perché accedere a Google?

Ho scaricato MalwareBytes e ho eseguito una scansione sull'unità C con esso e con Symantec. Entrambi hanno trovato solo alcuni cookie di tracciamento.

Ho anche controllato le mie porte di servizio principali utilizzando grc.com e tutto è in modalità invisibile. Ho confermato con il Visualizzatore eventi che nessuna sessione RDP era in esecuzione (l'ultima era mesi fa).

L'unica cosa che mi viene in mente è che uno dei siti su cui ho fatto clic ha eseguito il codice che ha effettuato automaticamente l'accesso a Chrome utilizzando l'account dell'assistente del gestore proprietà. Perché? Dato che siamo entrambi nello stesso edificio, entrambi i nostri IP si troveranno in un intervallo IP simile. Forse il computer dell'assistente viene hackerato regolarmente e stavano cercando di rientrare. Prima di uccidere Chrome, ho raggiunto il picco delle impostazioni dell'account utente e la password dell'assistente non era stata modificata da gennaio di quest'anno.

Non credo che l'assistente sia abbastanza esperto di computer da essere dietro a tutto ciò. Molto probabilmente è che ha una password semplice ed è stato semplicemente violato. Non so cosa possa fornire l'accesso al suo account, ma immagino che un programma remoto possa istruirlo a caricare i file. In tal caso, potrebbero avere le password per tutti i pannelli di sicurezza nell'edificio.

Non uso il mio account Google da anni e non penso di averlo mai usato sul mio server.

Qualcuno può confermare se questo è uno scenario possibile? Se non lo è, sembra che abbiamo un invasore qui e chiamerò la polizia. Informerò l'ufficio del gestore lunedì.

No, non ho accesso all'account. Tuttavia, se faccio clic su "Accedi", l'account viene visualizzato come predefinito, ma non conosco la password. Inoltre, presumo che sia l'account del gestore di proprietà. Non ho ancora parlato con loro, ma ho in programma di oggi, una volta ricevuta una risposta per un incontro. Dovrei essere in grado di confermare se è il loro account. Una volta modificata la password, pubblicherò ulteriori informazioni.

Le uniche estensioni che ho sono:

  • Adobe Acrobat
  • Google Documenti
  • Google Documenti offline
  • Fogli Google
  • WOT: Web of Trust, valutazioni della reputazione dei siti Web.

C'è la possibilità che qualcuno abbia preso la chiave e sia entrato nell'unità. Sembra davvero improbabile, ma non impossibile. Sono sulla lavagna qui e c'è stato un sacco di conflitti. Quattro membri del consiglio di amministrazione si sono dimessi in seguito al conflitto con il Presidente negli ultimi due anni. Non ho come sono stato esortato da altri nell'edificio a rimanere. Il Property Manager è stato semplicemente lasciato andare. Avevo piena fiducia e fiducia in lei. A partire da questa mattina è in corso un nuovo direttore di proprietà e abbiamo appena assunto un nuovo sovrintendente. Il mio primo pensiero fu che cercarono di ottenere prove o cancellare prove: uno dei membri del consiglio ne cita un altro. Ma non lo so.

Se è possibile che Chrome sia "hackerabile" come descritto, allora mi sembra lo scenario più probabile. È l'uno o l'altro.

    
posta BobH2 30.07.2017 - 16:27
fonte

2 risposte

1

Sono abbastanza sicuro che il flipping delle pagine, dei download e dell'installazione che hai visto sia il risultato del profilo Chrome di un utente che si è autenticato su Google e ha scelto di sincronizzare tutto o per lo meno le loro estensioni . link

Perché? probabilmente perché volevano accedere al proprio Google Drive per poter archiviare tutti i file che stavano tentando di recuperare dal tuo server. Sembra abbastanza ignorante non uscire, ma chi lo sa.

Quelle "pagine flipping", non erano forse un mucchio di schede aperte? Molte estensioni, al momento dell'installazione, aprono una nuova scheda con informazioni sull'estensione.

Sarei molto interessato alla tua recensione post-intervento su questo se fosse qualcosa di diverso dal caso di un inetto ladro di dati che ha avuto accesso fisico al tuo server mentre era sbloccato.

    
risposta data 22.01.2019 - 21:32
fonte
0

Potrebbe essere qualcuno che utilizza l'app app Chrome Remote Desktop per passare dal suo computer al tuo. Questa app di Chrome è stata progettata per essere facile da usare, anche da persone non tecniche.

Puoi verificare se è stato installato andando a chrome://extensions/ e guardando la sezione App di Chrome. Se è stato installato, puoi rimuoverlo o eseguirlo e disabilitare l'accesso remoto.

Tutto ciò che deve funzionare è il firewall aperto per:

  • Traffico UDP in uscita
  • Risposte UDP in entrata
  • Traffico sulle porte TCP 443 (HTTPS) e 5222 (XMPP)
risposta data 12.06.2018 - 14:53
fonte

Leggi altre domande sui tag