Opera Helper бороздит просторы Сети без ведома пользователя?

Приветствую всех хабражителей.


Сегодня произошёл очень странный и необычный случай при использовании браузера Opera на MacOS. У меня есть сомнения, что обращаюсь по адресу, но всё же решил написать сюда.


Вкратце, для экономии времени читателей: в папке загрузок, с интервалом в час и сорок минут, появились три php-файла с перечнем URL (все на одном ресурсе) и функцией перехода по этим URL. До сегодняшнего дня ничего подобного со мной не происходило.


Если статья не помещается в рамки сообщества — просьба к модераторам её не пропускать.


Перехожу к сути.


Сразу оговорюсь — Opera является моим основным браузером уже очень давно, Safari и Firefox использую периодически, но в сравнительно небольшом объёме. Пользователь я достаточно аккуратный. По сомнительным, с точки зрения сетевой гигиены ресурсам — не хожу совсем или, по крайней мере, стараюсь не ходить если возникают сомнения.


Со вчерашнего вечера и до момента обнаружения указанных файлов браузер был «закрыт» — приложение запущено, но не открыта ни одна вкладка, содержащая внешний ресурс.


Разблокировал утром ноутбук (включён постоянно), нажал кнопку обновления встроенного в браузер агрегатора новостей (три источника), быстро пробежался по заголовкам и, не переходя ни по одной из новостей, ушёл по другим делам. Возвращаюсь через некоторое время и вижу, что в папке «Downloads», которая назначена папкой для загрузок по-умолчанию, появилось три php-файла: 'tvigle1075nom.php', 'tvigle1361.php' и 'tvigle1361 (1).php'.


Обратил на них внимание сразу, так как точно знаю, что их здесь не было ранее и быть, по идее, не должно (я не разработчик на php).


Выдержка содержимого 'tvigle1075nom.php':


<?php

go([
    "https://www.tvigle.ru/video/zamok/?ref=1075&utm_source=107501",
    "https://www.tvigle.ru/video/nachalnik-chukotki/?ref=1075&utm_source=107501",
    ....
    "https://www.tvigle.ru/video/videli-noch-trailer/?ref=1075&utm_source=107501",
]);

function go($urls)
{

    $url = $urls[(int)array_rand($urls)];
    $queryString = parse_url($url, PHP_URL_QUERY);
    parse_str($queryString, $params);
    $params = array_replace($params, $_GET);
    $qs = 0 === count($params) ? '' : '?' . http_build_query($params);

    [$baseUrl] = explode('?', $url);
    $redirectUrl = $baseUrl . $qs;

    header('Location: ' . $redirectUrl, true, 307);
}

В файле 2455 строк, время создания 09:06.
Источник загрузки: «https:/ /www.tvigle.ru/ https:/ /traf.store/player/tviglepack/tvigle1075nom.php».


Содержимое 'tvigle1361.php' и 'tvigle1361 (1).php' полностью идентично между собой и от первого файла отличается только параметром 'ref=1078'.


В файлах тоже по 2455 строк, время создания 10:46 и 12:21 соответственно.
Источник загрузки: «https:/ /www.tvigle.ru/ https:/ /traf.store/player/tviglepack/tvigle1361.php».


Ситуация меня насторожила, поэтому сразу открыл монитор трафика в Little Snitch посмотреть что там происходит с сетевыми подключениями и вижу — процесс Opera Helper коннектится к 46 доменам (не одновременно, конечно), среди которых и указанные выше доменные имена и куча других, на которые я по собственной воле не зашёл бы.


Закрыл браузер полностью. Открываю повторно — вижу уведомление об обновлении браузера до версии 68.0.3618.165 (установлено автоматическое обновление).


Решил повторить эксперимент с новой версией браузера: открыл приложение, сразу закрыл все его окна, запустил в Little Snitch захват трафика процесса Opera Helper и в GUI наблюдал его коннект к куче доменов. Меньше чем за пять минут *.pcap набрал объём 36 МБ и я остановил захват трафика.


Бегло проанализировав дамп, пришёл к выводу, что мне совершенно не нравится ситуация, при которой браузер, запущенный на моём компьютере, даже во время простоя генерирует трафик для кучи ресурсов, большинство из которых зарабатывает на показе рекламы и о большинстве из которых я даже не подозревал (на тот же Твигл я не ходил вообще ни разу и только сегодня узнал о его существовании).


Ради эксперимента понаблюдал за двумя другими браузерами в точно таких же условиях (приложение запущено, но не открыто ни одно окно) и пришёл к следующему выводу: возможно, в силу недостаточной компетенции, я делаю некорректный вывод, но сегодня я последний день использую Оперу в качестве браузера и после переноса из него закладок на моём компьютере его больше не будет.


Для чистоты эксперимента я понаблюдаю за Safari и Firefox после переноса в них всех закладок из Оперы. Если ситуация будет похожа — обновлю пост. Но, что-то мне подсказывает, что всё сложится не в пользу Оперы.


Жаль, мне нравился этот браузер.


Благодарю за внимание.

Tags:
браузеры, информационная безопасность, macos

You can't comment this post because its author is not yet a full member of the community. You will be able to contact the author only after he or she has been invited by someone in the community. Until then, author's username will be hidden by an alias.