Blokada instalacji rozszerzeń spoza Chrome Web Store jest dziurawa
Teoretycznie użytkownicy przeglądarki Google Chrome powinni czuć się bezpiecznie, bo oferuje ona szereg zabezpieczeń. Jak się jednak okazuje, w praktyce jest z tym różnie. Pracownicy firmy Trend Micro zajmującej się tworzeniem oprogramowania zabezpieczającego odkryli w ostatnim czasie zagrożenie, które potrafi obejść zabezpieczenia sklepu Chrome Web Store i zainstalować w przeglądarce nieautoryzowany i niebezpieczny dodatek.
09.09.2014 | aktual.: 09.09.2014 13:09
W ataku tym wykorzystywana jest inżynieria społeczna i popularne serwisy społecznościowe. Atakujący wabią swoje ofiary poprzez skrócone linki do Facebooka i Twittera publikowane w sieciach społecznościowych odsyłające rzekomo do różnych „sekretów”. Prowadzą one do spreparowanych witryn, gdzie znajduje się szkodliwe oprogramowanie. Wykorzystuje ono luki przeglądarki Google Chrome, jest pobierane automatycznie i instalowane jako rozszerzenie podszywając się pod Flash Playera. Po zainstalowaniu w przeglądarce, rozszerzenie po cichu otwiera w tle tureckie strony. Najprawdopodobniej ma na celu generowanie sztucznego ruchu, kliknięć i przekierowań np. w celu uzyskiwania większych profitów z reklam.
Pobierany plik nazywa się download-video.exe i jest już wykrywany przez część oprogramowania zabezpieczającego jako TROJ_DLOADE.DND. Malware tworzy w katalogu rozszerzeń Chrome dwa pliki: manifest.json, który jest plikiem standardowym każdego dodatku i który zawiera podstawowe informacje o nim, a także crx-to-exe-convert.txt zawierający skrypt do załadowania. Może on być automatycznie zaktualizowany po wejściu na odpowiednią stronę internetową. Niestety malware jest w stanie obejść zabezpieczenia, jakie zostały jakiś czas temu wdrożone w przeglądarce od Google. Teoretycznie możliwa jest w niej instalacja rozszerzeń jedynie z oficjalnego sklepu Chrome Web Store, jak jednak widać, da się to obejść. Bez znaczenia jest tu wersja używanej przeglądarki tj. podział na 32 i 64 bity. Zamknięcie się na zewnętrzne rozszerzenia najwyraźniej nie zostało przygotowane poprawnie. Błąd ten zostanie naprawiony najprawdopodobniej w kolejnej stabilnej wersji Chrome.
Nie jest to jedyny problem, jaki trapi tę przeglądarkę. Ostatnio informowaliśmy o innym, bardzo poważnym problemie: na 23. Sympozjum USENIX poświęconemu bezpieczeństwu komputerowemu opublikowano materiały mówiące o tym, że wiele z dodatków dostępnych nawet w oficjalnym kanale dystrybucji można uznać za szkodliwe. Niektóre z nich podmieniają reklamy, inne wstrzykiwały w przeglądane strony własny kod, a jeszcze inne były nawet w stanie zapisywać dane wprowadzone przez użytkownika i wysyłać je na zewnętrzne strony. Użytkownicy nie mają na to wielkiego wpływu, bo uprawnienia dodatków o jakich informuje w swoim sklepie Google są opisane bardzo lakonicznie i za podejrzane można uznać nawet dodatki blokujące reklamy – one też modyfikują odwiedzane witryny, a więc mogą działać w sposób szkodliwy i wstrzykiwać kod oszukujący użytkownika.
Choć rozszerzenia to dla wielu osób fantastyczne rozwiązanie, znacznie poszerzające funkcjonalność przeglądarki, nie wolno zapominać o ostrożności. Każdy z używanych dodatków może nam kiedyś zrobić niemiłą niespodziankę. Nie zapominajmy również o aktualnym oprogramowaniu antywirusowym (tego typu aplikacje znajdziecie w bazie naszego serwisu) skanującym przeglądane witryny i blokującym tego typu ataki socjotechniczne. Oczywiście możliwa jest również zmiana przeglądarki np. na Firefoksa. Nic nie daje nam jednak gwarancji, że jego dodatki są bezpieczniejsze od tych dostępnych dla Chrome. Sama przeglądarka Mozilli nie jest natomiast wyposażona w niektóre z dodatkowych zabezpieczeń dostępnych w Chrome jak np. sandbox dla wbudowanego weń Flash Playera (w przypadku Firefoksa wykorzystywany jest Protected Mode stosowany przez Adobe).