Ezt nagyon benézte a fejlesztő

Az egyik népszerű Chrome bővítmény fejlesztője adathalász támadás áldozata lett, ami végül egymillió felhasználót sodort veszélybe.
 
hirdetés
A webböngészőkhöz készülő bővítmények is számos biztonsági kockázatot vetnek fel. Elég, ha csak arra gondolunk, hogy több facebookos csalás is ilyen kiegészítők telepítésével valósul meg. Ezek a káros összetevők képesek például a felhasználó nevében posztolni, chat üzeneteket küldeni stb., és ezáltal az áldozat nevében vírusokat, ártalmas tartalmakat terjeszteni.
 
Így aztán nem csoda, hogy mind a Google, mind a fejlesztők próbálnak minél nagyobb figyelmet szentelni a bővítmények biztonságára. Sajnos azonban ez nem mindig sikerül. Legutóbb az a Chris Pederick fejlesztő esett áldozatul egy támadásnak, aki a népszerű Web Developer nevű kiegészítőt készítette.
 
A Bleacher Report mérnöke és egyik igazgatója egy adathalász levelet kapott, amit sajnos nem ismert fel időben. Ennek következtében sikerült kiszolgáltatnia azt a Google fiókját, amelyet a szóban forgó bővítmény karbantartásához is használt. Ezt pedig a támadók rögtön ki is használták, és a Web Developerből a fejlesztő nevében publikáltak egy új verziót. Az akkor elérhetővé váló, v0.4.9-es változat viszont már egy ártalmas kódot is tartalmazott. Így, ha ezt valaki letöltötte, illetve frissített egy meglévő telepítést, akkor onnantól kezdve kéretlen reklámok kezdek megjelenni a Chrome böngészőben.

 
Amint Pederick rájött a csalásra, azonnal jelezte a problémát a Google-nek, és néhány órán belül sikerült letiltani a kompromittált bővítményt. Ugyanakkor azt nem lehet tudni, hogy az addig eltelt időben hány PC fertőződhetett meg.
 
Pederick az incidenst követően kiirtotta a kiegészítő kódjába csempészett, oda nem való összetevőket, és 0.5-ös verziószám alatt elérhetővé tette a javított, immár ártalmatlan változatot. A szakember hangsúlyozta, hogy a Firefox és az Opera kompatibilis bővítményeit nem tudták módosítani a csalók, ezért e böngészők esetében nem merült fel kockázat.
 
Más is így járt
 
Nem kizárólag a Web Developer bővítmény kapcsán merült fel a fenti probléma. Néhány hete ugyanis kísértetiesen hasonlóan jártak a Copyfish nevű, OCR-kiegészítő fejlesztői, akik szintén adathalászok áldozatai lettek. A csalók akkor is hozzáférést szereztek a fejlesztők fiókjához, majd manipulálták az amúgy ártalmatlan kiegészítőt.
Vélemények
 
  1. 4

    A McAfee ePO két sérülékenységet tartalmaz.

  2. 3

    Az OpenSSL kapcsán két sérülékenységről hullt le a lepel.

  3. 3

    Az IBM Security Guardium biztonsági hibája a titkosítási szintek manipulálását teszi lehetővé.

 
Partnerhírek
Egy repülőgépet is fel lehet törni?

Nem laboratóriumi körülmények között, távolról be lehet törni egy repülőgép hálózatába.

​A Google mindig tudja, hol vagy?

Akkor is gyűjti az androidos készülékek tulajdonosainak lokációs adatait a Google, amikor kikapcsolták a helyfüggő szolgáltatásokat – ezt az adatvédelmi szabályzatban nem jelezték.

hirdetés
Közösség
1