SamForum.org  
SamLab.ws
Заблокированные пользователи

Вернуться   SamForum.org > Технологии > Интернет и сети
Важная информация

Ответ
 
Опции темы Опции просмотра
Обнаружены опасные уязвимости в расширениях SaveFrom.net, Frigate Light, Frigate
Старый Добавлено: 26.12.2020, 14:29
  (#1)
TAIFUN
Администратор
Администратор
 
Аватар для TAIFUN

По умолчанию Обнаружены опасные уязвимости в расширениях SaveFrom.net, Frigate Light, Frigate

[Ссылки могут видеть только зарегистрированные пользователи. ]

Вчера специалисты компаний [Ссылки могут видеть только зарегистрированные пользователи. ] и [Ссылки могут видеть только зарегистрированные пользователи. ] сообщили, что нашли потенциально вредоносный код в популярных браузерных расширениях.

Инженеры «Яндекса» рассказали, что некоторое время назад им стали поступать жалобы пользователей на некий странный звук, который можно было принять за голосовую рекламу, хотя в браузере не было открыто ничего подозрительного.



Как оказалось, у всех пострадавших у пострадавших было установлено расширение для загрузки видео от сервиса SaveFrom.net, и его отключение действительно отключало и странные фоновые звуки. Представители «Яндекса» связались с разработчиками расширения, и те высказали предположение, что это ошибки конвертера, и внесли исправления. После этого обновления расширения жалобы на звук прекратились.

Однако в ноябре текущего года антифрод-комана «Яндекса» заподозрила неладное. Специалисты получили сигнал о том, что кто-то использует аудиторию популярных браузеров для накрутки просмотров видео в онлайн-кинотеатрах. Пользователи на самом деле не видели видео, потому что оно воспроизводилось на фоне. Тем не менее, это приводило к существенному потреблению трафика и перегружало работой вычислительные ресурсы компьютера, и такое поведение никак нельзя было назвать добросовестным.

Цитата:
«На посторонний звук больше никто не жаловался. Это можно было легко объяснить сознательным исключением аудитории Яндекс.Браузера из целевой. Подобные попытки избежать внимания со стороны нашего антифрода мы уже неоднократно встречали в прошлом при анализе поведения расширений из Chrome Web Store (напомним, что наш браузер поддерживает установку в том числе из этого каталога).

Но все оказалось куда проще: на этот раз фоновое воспроизведение видео проходило в беззвучном режиме. Вскоре коллеги из Службы информационной безопасности выяснили, что проблема затрагивает не только внешних пользователей нашего браузера, но и даже наших коллег. Так мы получили проблемные ноутбуки для исследования и наконец-то смогли детально разобраться в происходящем.

На проблемных устройствах наших коллег были установлены расширения SaveFrom.net, Frigate Light или Frigate CDN. Источник их установки значения не имел (SaveFrom.net мог быть установлен с сайта, а Frigate — напрямую из каталога Chrome Web Store)», — рассказывают специалисты в блоге компании.

В итоге оказалось, что оба расширения семейства Frigate (Light и CDN) имеют один и тот же участок кода, который отвечает за динамическую подгрузку и исполнение JS-скриптов. Таким способом расширения в фоне подтягивали потенциально вредоносный код.

Цитата:
«Этот код совершает запрос по адресу fri-gate.org/config.txt и получает адрес командного сервера для дальнейшей работы. Такое решение позволяет без обновления расширения менять адреса командного сервера, если с ним что-то пошло не так. В момент нашего анализа командным сервером был gatpsstat.com.
Раз в час расширения совершают запрос к командному серверу в обработчик /ext/stat. При первом запросе им выставляется cookie, которая содержит uuid пользователя. Ответ сервера декодируется и попадает в функцию debug(), которая, по сути, является функцией eval() для выполнения JS-кода», — гласит отчет.

Интересно, что все расширения имеют возможность динамически выполнять JS-код, который они получают раз в час из обработчика /ext/stat. Этот JS-код в разные моменты времени мог быть любым, сколь угодно опасным. Скрытое воспроизведение видео могло быть лишь одним из множества возможных симптомов, признают эксперты.

Также обнаружилось, что сомнительная активность прекращалась, если пользователь открывал адрес поддержки Яндекс.Браузера или служебную страницу для анализа трафика.

В конечном итоге специалисты пришли к выводу, что расширения получали задания от собственного управляющего сервера и генерировали фрод-трафик, проигрывая видео в скрытых вкладках, а также имели возможность перехватывать токены oAuth-токены «Вконтакте» (правда неясно, использовался ли данный механизм на практике). Схема запускалась только в случае активного использования браузера, при этом код включал в себя защиту от обнаружения, включая обфускацию и сжатия.



Цитата:
«Мы считаем описанное поведение потенциально опасным и недобросовестным, поэтому приняли решение отключить в Яндекс.Браузере уже установленные копии расширений SaveFrom.net, Frigate Light, Frigate CDN и некоторых других. Пользователи этих расширений получат уведомление, в котором мы расскажем о причинах отключения. После этого они смогут принять осознанное решение и при необходимости включить их вновь (хотя мы настоятельно рекомендуем так не поступать).

Кроме того, мы передали результаты нашего технического анализа коллегам из «Лаборатории Касперского» и Google. В «Лаборатории Касперского» уже подтвердили наличие потенциально вредоносной составляющей в расширениях, теперь продукты компании детектируют эту угрозу и блокируют связанные с ней URL-адреса и фрагменты скриптов», — резюмируют аналитики «Яндекса».



Mare liberum apertum - Море открыто для всех

Последний раз редактировалось TAIFUN; 26.12.2020 в 17:55..
TAIFUN вне форума Отправить личное сообщение для TAIFUN
Вверх
Ответить с цитированием
Эти 6 пользователя(ей) сказали cпасибо за это полезное сообщение:
dima4o (26.12.2020), ED_Sln (26.12.2020), Gimm (26.12.2020), Nafany (26.12.2020), PolarBear (26.12.2020), virtuOS (26.12.2020)
Старый Добавлено: 26.12.2020, 15:31
  (#2)
PolarBear
Модератор
Модератор
 
Аватар для PolarBear

По умолчанию

Цитата:
Сообщение от TAIFUN Посмотреть сообщение
«Мы считаем описанное поведение потенциально опасным и недобросовестным, поэтому приняли решение отключить в Яндекс.Браузере уже установленные копии расширений SaveFrom.net, Frigate Light, Frigate CDN и некоторых других. Пользователи этих расширений получат уведомление, в котором мы расскажем о причинах отключения. После этого они смогут принять осознанное решение и при необходимости включить их вновь (хотя мы настоятельно рекомендуем так не поступать).

Давным-давно пользовался SaveFrom.net. Но не понравилось. Сейчас в предпочтении не расширение, а самостоятельные качалки 4K Video Downloader и UmmyVideoDownloader.


Наше дело правое. Враг будет разбит. Победа будет за нами. ©
PolarBear вне форума Отправить личное сообщение для PolarBear
Вверх
Ответить с цитированием
Старый Добавлено: 26.12.2020, 15:59
  (#3)
virtuOS
Модератор
Модератор
 
Аватар для virtuOS

По умолчанию

Цитата:
Сообщение от TAIFUN Посмотреть сообщение
Кроме того, мы передали результаты нашего технического анализа коллегам из «Лаборатории Касперского» и Google.

Что-то такое появилось вчера, касперский каждые 5 секунд ругался на браузер. А в браузере Frigate.

Кто-нибудь знает хорошую бесплатную альтернативу?


"Умом Россию не понять, аршином общим не измерить: у ней особенная стать - в Россию можно только верить."©
Волхвы не боятся могучих владык, а княжеский дар им не нужен; правдив и свободен их вещий язык и с волей небесною дружен. Грядущие годы таятся во мгле; но вижу твой жребий на светлом челе. ©
virtuOS вне форума Отправить личное сообщение для virtuOS
Вверх
Ответить с цитированием
Старый Добавлено: 26.12.2020, 16:06
  (#4)
Александр Щ.
Местный
Пользователь
 
Аватар для Александр Щ.

По умолчанию

Цитата:
Сообщение от virtuOS Посмотреть сообщение
Кто-нибудь знает хорошую бесплатную альтернативу?

Антизапрет
Александр Щ. вне форума Отправить личное сообщение для Александр Щ.
Вверх
Ответить с цитированием
Старый Добавлено: 26.12.2020, 16:49
  (#5)
PolarBear
Модератор
Модератор
 
Аватар для PolarBear

По умолчанию

Цитата:
Сообщение от virtuOS Посмотреть сообщение
Кто-нибудь знает хорошую бесплатную альтернативу?

Пользуюсь Windscibe с бесплатными 50 Gb ежемесячно.


Наше дело правое. Враг будет разбит. Победа будет за нами. ©
PolarBear вне форума Отправить личное сообщение для PolarBear
Вверх
Ответить с цитированием
Ответ

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.10
Copyright ©2000 - 2021, vBulletin Solutions, Inc. Перевод: zCarot

Время генерации страницы 0.11718 секунды с 18 запросами