Как стать автором
Обновить

Официальное браузерное расширение Mega воровало данные и криптовалюту пользователей файлообменника

Время на прочтение3 мин
Количество просмотров6.7K

Источник: Bitnovosti

У многих современных сервисов есть собственные приложения и расширения для браузеров. Не является исключением и файлообменный сервис MEGA, который был создан небезызвестным Кимом Доткомом. Этот сервис появился на смену закрытому правительством США Megaupload и работает уже несколько лет без особых проблем. Конечно, у правообладателей возникают некоторые вопросы относительно правомерности размещения некоторых файлов, но в силу особенностей работы сервиса сделать с ним (пока) поборники копирайта пока ничего не могут.

Но на днях MEGA проштрафился — его расширение для браузера Chrome было скомпрометировано. Злоумышленники модифицировали расширение при помощи кода, который превратил Mega в похитителя пользовательских данных и криптовалюты.

Сейчас известно о проблеме с расширением версии 3.39.4, которое было выложено в каталог Chrome всего несколько дней назад. Представители Google уже успели вмешаться и удалили расширение из Chrome Web Store. Его также дезактивировали для всех пользователей браузера от Google. Если кто-то использует этот плагин, лучше дважды перепроверить, отключен ли он.

После детального изучения расширения обнаружилось, что оно активировало свой «скрытый талант» на таких сайтах и сервисах, как Amazon, Google, Microsoft, GitHub, MyEtherWallet и MyMonero. Кроме того, оно срабатывало на торговой площадке IDEX, представляющей собой криптовалютный обменник.

На этих сервисах расширение записывало логины, пароли пользователей, а также иные данные сессий, которые могли пригодиться злоумышленникам для использования учетных записей жертв в своих целях. В частности, авторы расширения могли переслать на свой кошелек криптовалюту жертвы, поскольку могли извлечь необходимые для этого приватные ключи.

Вся информация передавалась на сервер megaopac.host, физически расположенный на/в Украине.

После происшествия ситуацию прокомментировали представители MEGA. В частности, они заявили, что версия 3.39.4 была загружена в Chrome Web Store 4 сентября 2018 года. Сейчас она уже обезврежена, о чем уже говорилось ранее, а компания загрузила новую версию расширения, v3.39.5. Оно появилось через 4 часа после того, как стало известно о проблеме.

«Мы бы хотели извиниться за проблему. Сейчас мы изучаем причину случившегося», — заявили представители MEGA. В своем же блоге компания выразила сожаление по поводу того, что Google решил деактивировать «подписи» издателей расширений, и сейчас проверка производится при автоматической загрузке новых расширений в Web Store. По мнению некоторых специалистов, обновление в правилах безопасности по работе с расширениями снизило уровень защиты их пользователей.

К примеру, расширение MEGA для Firefox подписано и хранится на сервере самой компании, что, конечно, не сводит к нулю вероятность компрометации, но все же значительно ее снижает.

В принципе, это не первый случай взлома «белых» расширений для Chrome. Так, в прошлом году стало известно о компрометации Web Developer, расширения, предназначенного для разработчиков. Оно весьма популярным, год назад число пользователей Web Developer составляло около миллиона. Видимо, популярность расширения и привлекла взломщиков.



Тогда злоумышленник смог получить в свое распоряжение учетную запись автора Web Developer, после чего ему удалось добавить собственный код. После того, как модифицированное расширение было загружено в Web Store, любой из его пользователей инфицировался автоматически. К слову, год назад проблему тоже быстро выявили и локализировали — с момента обнаружения взлома до ликвидации инфицированного расширения прошло всего три часа.
Теги:
Хабы:
Если эта публикация вас вдохновила и вы хотите поддержать автора — не стесняйтесь нажать на кнопку
Всего голосов 32: ↑17 и ↓15+2
Комментарии15

Публикации

Истории

Работа

Ближайшие события

19 августа – 20 октября
RuCode.Финал. Чемпионат по алгоритмическому программированию и ИИ
МоскваНижний НовгородЕкатеринбургСтавропольНовосибрискКалининградПермьВладивостокЧитаКраснорскТомскИжевскПетрозаводскКазаньКурскТюменьВолгоградУфаМурманскБишкекСочиУльяновскСаратовИркутскДолгопрудныйОнлайн
3 – 18 октября
Kokoc Hackathon 2024
Онлайн
10 – 11 октября
HR IT & Team Lead конференция «Битва за IT-таланты»
МоскваОнлайн
25 октября
Конференция по росту продуктов EGC’24
МоскваОнлайн
7 – 8 ноября
Конференция byteoilgas_conf 2024
МоскваОнлайн
7 – 8 ноября
Конференция «Матемаркетинг»
МоскваОнлайн
15 – 16 ноября
IT-конференция Merge Skolkovo
Москва
25 – 26 апреля
IT-конференция Merge Innopolis 2025
Иннополис