На Chrome Webstore распространяются вредоносные расширения

    Речь пойдет не о Линуксе даже, и не о вирусах как таковых, а о плохих людях.
    Видимо, шоу кончилось, и описанное здесь — всего лишь череда случайных событий.

    Открываю сегодня утром ВКонтактик в Chrome, и тут мне через каждую секунду в левый нижний угол (прям как новое личное сообщение) начинает падать одно и то же сообщение от некой «Администрации Гугл.ру» с «просьбой» обновить мой браузер:



    Ссылка вела на http://chrome-update.net/, который просил ввести номер телефона (далее они присылали код в смс и просили ввести этот код), а сама JS-ка находилась на сайте http://www.abrakadabra2012.ru/vkontakte, который тоже редиректил куда-то и т.д. и т.п.

    Виновник же этой JS-ки был найден быстро: расширение для Вконтакте "Vkontakte Tools" — https://chrome.google.com/webstore/detail/efiplaenbpdemncgfglodeehhnfilgaa. Рядом с названием стоит галочка зеленая — вроде как проверено, и, кажется, у этого расширения очень много пользователей.

    Автор — iShift (человек, который как минимум не дружит с русским языком).

    Возникает несколько риторических вопросов, например:
    • как Google могли допустить такое у себя в webstore?
    • зачем этот самый разработчик внедрил вредоносный код в своё расширение?


    Вот так и скачивай теперь расширения для любимого браузера.

    P.S. Пожалуйста, воздержитесь от комментариев, какой браузер круче, какой ВКонтакте плохой, и какие вообще идиоты эти пользователи таких расширений. Спасибо.

    UPD 1:
    Первое упоминание замечено аж 19 числа: http://my-chrome.ru/2012/04/ostorozhno-rasshireniya-dlya-vkontakte-mogut-perenapravit-vas-na-vredonosnyj-sajt/
    UPD 2:
    Разработчик нашёлся:
    iShift & shifttstas
    И уже извинился.
    UPD 3:
    И уже рассказал невероятную историю. Наверное, он не виноват, всем спасибо. Время покажет.
    Поделиться публикацией

    Похожие публикации

    Комментарии 82

      –1
      Что то гугл совсем плох стал
        +3
        Вчера как раз эту гадость на компе у жены вытравили. На винде.
          –3
          Винду упомянули из-за этого —
          «P.S. Пожалуйста, воздержитесь от комментариев, какой браузер круче, какой ВКонтакте плохой, и какие вообще идиоты эти пользователи таких расширений. Спасибо.»?
            0
            А у меня на маке через расширение для ВКонтакта кукисы угнали. От такой фигни защищен только тот, у кого расширений нет вообще.
              0
              Точнее браузеров (веб-клиентов): нет браузера — нет кукисов. А так я форкну Chromium вредоносно и подсуну его…
            +5
            как Google могли допустить такое у себя в webstore?

            Как Вы предлагаете отслеживать работу таких приложений? Ведь встраивание такого «сообщения» ничем не отличается от, скажем, встраивания ссылки на скачивание.
              0
              Ведь как-то это расширение попало в проверенные. Не просматривать же мне исходный код каждого расширения, которое я собираюсь загрузить.
                0
                Извините, а вы читали описание к этой зеленой галочке? Зеленая галочка и «проверенные» — совсем разные вещи.
                  0
                  Дело не только в расширении, на некоторых сайтах точно такое же окно вылезает.
                  Несколько раз ловил о новом сообщении в одноклассниках, вконтакте на Crome Beta для андроид.
                  Я так думаю, у кого не стоит банерорезка и тд с легкостью по привычке может нажать на привычное окно.
                  +1
                  Ну Apple же как-то отслеживает всё в приложениях, попадающих в App Store. Было бы желание
                  • НЛО прилетело и опубликовало эту надпись здесь
                      0
                      Google тоже берет 5$
                      • НЛО прилетело и опубликовало эту надпись здесь
                    +1
                    Ох, не знаете вы, как происходит полная проверка расширений в мозилле… Там буквально досконально прочитывают каждую строчку и чуть что дают отказ. Смысловая ошибка в коде — отказ, решили сэкономить на размере кода за счёт производительности — отказ, непонятный код — отказ, мало кода — всё равно отказ. Разве что скобочки не заставляют красиво расставлять. Естественно, никаких внешних скриптов, которые владелец расширения может подменить, и никаких обфускаций. Правда всё это относится к полной проверке, а на предварительной всё намного примитивнее и быстрее.
                      0
                      То же самое для Оперы.
                    +22
                    > Вирусы под Linux? Их есть у меня!
                    А где вирусы?
                    И при чём здесь линукс?
                      –4
                      Так, эээ, запускал-то в двух линуксах, и просил двух ведоюзеров — у меня работало оно, у них нет.
                        +7
                        Так вы запускали то расширение в хроме, а причем тут линукс? :)
                          +22
                          Набрал вчера в консоли команду "rm -rf ~" и оно удалило всю мою порнуху. Ааа! В Линуксе сплошные вирусы!
                        +2
                        Также этот Shift бывший админ Рутрекера
                          +11
                          Если воздерживаться от этих комменттариев, то что же тогда обсуждать?
                          =)

                          Хотя по теме есть что сказать: не смотря на то, что «в линуксе вирусов нет», социальный инжиниринг работает на любой ОС. Поэтому, без ликбеза по сетевой безопасности, ни одна супер-пупер защищенная система не поможет.
                            0
                            Один из пунктов «ликбеза» звучит обычно как-то вроде: «устанавливайте софт только из доверенных источников». Пост собственно о том, что репозиторий гугла для расширений хрома таковым не является.
                              0
                              Правильно. Идем на официальный сайт, переходим по линку в кромостор, и радуемся жизни.
                              0
                              Подумайте еще раз.
                              Вы, действительно, считаете, что социальный инжиниринг работает на пользователях линукса? :)))
                                +1
                                Вполне. Я однажды (давным-давно) запустил (утрируя) rm -rf --no-preserve-root /, когда спросил на ЛОРе как иметь две версии php (4 и 5) одновременно.

                                Линукс давно пошёл в массы, очень многие даже не знают что такое консоль или root. Запросы gksu или аналогов воспринимают как запросы UAC: «задолбали этим паролем».
                                  0
                                  К вопросу о UAC. В большинстве случаев я наперед знаю, что «вот сейчас появится запрос на повышение привилегий» и он не становится неожиданностью. Остальные моменты настораживают и проверяются.
                              +1
                              Сегодня возникла аналогичная проблема на Windows, правда сразу выяснил, что это данная программа, но уже перепугался и начал перепроверять etc/hosts и сканировать антивирусом компьютер.
                              Надо идти писать жалобу, чтобы программу заблокировали.

                              Это только показывает опасность плагинов браузера, которую конкретно недооценивают.
                                +17
                                chrome.google.com/webstore/report/efiplaenbpdemncgfglodeehhnfilgaa
                                Продукт содержит вредоносное ПО или может выполнять опасные действия.
                                This extension inserts popups for some pages in vkontakte.ru, which forces user to go on chrome-update.net (fraud site with fake google chrome). This site asks users from Russia to send SMS messages, which transfers money from mobile accounts. See habrahabr.ru/post/142521/ for extra details.
                                Ваше сообщение о нарушении отправлено.

                                Всё правильно сделал?
                                +3
                                ТЫЦЬ и читать.
                                  +1
                                  Ну, да. Видимо, я не ошибся, когда сразу написал «о плохих людях» :)
                                  +2
                                  И тут он уже отличился чем-то: iShift
                                    0
                                    Спасибо, добавил негодяя в первопост.
                                      0
                                      А выпилили его посредством НЛО до этого поста или уже после?
                                        +7
                                        До этого поста.
                                        У него уже давно другой аккаунт, twitter.com/#!/iShift/status/180383110893023232
                                    0
                                    Видел аналогичное на нескольких сайтах — без каких-либо расширений
                                      0
                                      Одно дело сайт, на котором творится что угодно, другое дело — расширение у тысяч пользователей для крупнейшей соц.сети рунета.
                                      +1
                                      Вообще не очень понятно как в принципе то или иное расширение получает апрув.
                                      Тут похоже никто из модераторов/аналитиков даже не попытался его поставить и протестировать.
                                        +3
                                        Если навести на «галочку» то видно «Этот продукт создан владельцем указанного веб-сайта» vkontakte-tools.blogspot.com

                                        Т. ч. это, разве что, говорит о том, что у создателя расширения есть доступ к указанному сайту.
                                        +7
                                        >Вирусы под Linux
                                        >Речь пойдет не о Линуксе даже, и не о вирусах как таковых

                                        Ну так зачем тогда писать про «вирусы под линух»? Если пост ни о том, ни о другом.
                                          +1
                                          Лучше уж тогда обозначить пост просто как об уязвимости браузера.
                                          0
                                          Да на самом деле не страшно
                                            0
                                            Вчера была аналогичная ситуация. Расширение для Google Chrome для скачивания музыки обновилось и под меню начали показывать 2 банера рекламы. У меня стоит AdBlock, сразу заподозрил, что что-то тут не так и снёс приложение (узнал, что приложение обновилось по новой иконке) Реклама пропала, но таких всплывающих уведомлений я не видел.

                                            P.S как решение данной проблемы можно сделать в настройках пункт:
                                            [X] обновлять приложение автоматически?
                                              0
                                              Столкнулся с таким же поведением YAFGBE — Yet Another Gogle Bookmarks Extension
                                              Пока что напрашивается один вывод — забил Google на свой Chrome Store
                                                +1
                                                я эти баннеры вручную заблокировал тем же AdBlock и пользуюсь дальше, горя не знаю
                                                0
                                                так гугл не модерирует же бОльшую часть расширений. Все на совести разработчика и под ответственность юзера
                                                  +1
                                                  + Такую же схему использует приложение вконтакте абракатабра _http://www.abrakadabra2012.ru/vkontakte/
                                                    –3
                                                    ВКонтакте начали рекламировать Хром, и Хром начал лажать. То с аяксом проблемы, то теперь вот это.
                                                      0
                                                      Интересно, а что не так?)
                                                      0
                                                      прошелся на _http://www.abrakadabra2012.ru/vkontakte/
                                                      там ещё на сайт _http://chrome-update.net/
                                                      там ещё на _http://tourl.in/googlechrome/ посылают

                                                      в итоге был какой-то код верификации и коротки код с СМС — 1005

                                                      А тут safe.beeline.ru/smc/rec/cpa.wbp?num=1005 кому принадлежит 1005
                                                        0
                                                        А, вот как было:

                                                        Отправьте смс с текстом 21258049004 на номер 1005.
                                                        Введите полученный код.


                                                        Ну а вообще — незачем скачивать музыку и видео, к чему это пиратство? Есть ещё всякие оналйн кинотеатры и яндекс.музыки
                                                          0
                                                          «ВКонтакте классный очень сайт и там много полезного… Та же библиотека аудиозаписей ) Есть же там то чего нету, грубо говоря, нигде кроме как там»

                                                          bash.im/quote/406135
                                                        +12
                                                        Приветствую, я разработчик Vkontakte Tools, хочу сообщить что я в курсе проблеммы того, что начал появлятся банер с рекламой, это произошло из-за того, что аккаунт Google взломали, как доберусь до компьютера — буду восстанавливать доступ.
                                                          +4
                                                          2-х фазная аутентификация разве не к аккаунтам гугла прикручивается?
                                                            –1
                                                            А денег не предлагали за встраивание кода? :-) На какую сумму согласились? 5000 в день или подороже сдались? :-)
                                                              +11
                                                              (Трудности восстановления заключаются в том, что телефон который привязан к гуглу давно уже утерян.)

                                                              И да, на хабре я был заблокирован из-за плохих слов в адрес одной шишки из Мегафона, ну это так, к слову. когда мегафон собирались фильтровать Skype.

                                                              Нет бы что бы сначала попытатся связатся с разработчиком а потом уже орать какой он плохой итд итп…

                                                              И спасибо за слитую карму, после такого прям хочется делать хорошие и бесплатные продукты =(

                                                              На тему 2x фазной аунтификации — не ставил себе её.

                                                              В ближайшие пару часов либо получится восстановить аккаунт, либо плагин заблокируют из-за жалоб. В любом случае это прекратится.
                                                                +1
                                                                Я вижу сейчас плагин удаен с Chrome Web Store. Скажите, вы будете выкладывать его заново? Так как приложение хорошее — мне нравится его возможность скачки музыки и видео, а кнопка чата это уже излишне. Так как было подобное расширение и куда-то было удалено поставил пару недель назад ваше. Никаких проблем с баннерами не отмечено. Вы создадите новый аккаунт и заново его зальете в магазин плагинов или как планируете поступить?
                                                                  0
                                                                  попробуйте vkopt, тоже расширение для хрома.
                                                                  +7
                                                                  Окей, я извиняюсь за то, что назвал Вас плохим. Тогда, пожалуйста, постарайтесь внятно рассказать, как так получилось?
                                                                  Получается, кто-то украл телефон и узнал, что почта связанна именно с этим телефоном? Вы забыли пароль от аккаунта гугла? Вы не пользуетесь собственным расширением (или оно не обновляется тогда)? Что, вообще никак не заметили, что что-то не то?
                                                                  Не обвиняю во лжи, но выглядит очень странно :) прямо вот совпало, что магическим образом получили доступ к маркету (КАК?) и нет возможности восстановить, и разработчик узнал спустя двое суток после случившегося.
                                                                    +3
                                                                    В любом случае, каждый разработчик должен отвечать за свое детище.
                                                                    +4
                                                                    Отвечаю, симкарта была сменена (поменял оператора) года назад, привязку к аккаунту гугла не менял, тк тупо забыл.

                                                                    Затем, сегодня при проверке почты приложение Mail выдало ошибку ругнувшись на пароль — я попытался войти и не получилось, т.е у меня угнали гугл аккаунт.

                                                                    Не заметил я что произошло с расширением тк я на даче и узнал о проблеме только из твиттера.

                                                                    На даче с интернетом не все так хорошо и бука нет, т.е что-то грандиозное делать не могу.

                                                                    А к маркету получить доступ можно тупо зная пароль от гугл аккаунта.

                                                                    Я вам ответил на ваш вопрос? вы не считаете что стоит убрать упоминание то, какой я плохой? или всё еще считаете что я виноват?
                                                                      +2
                                                                      Наверное, и правда случайности. Неудача, прям одна за одной, сочувствую (без сарказма и издевательства). А время покажет, случайно ли совпало, или нет, спасибо.
                                                                      Надеюсь, откатитесь на предыдущую версию и выложите хорошее и годное расширение ;)
                                                                +2
                                                                В Опере, например, модерируют каждое обновление. А тут заплатил $1 и выкладывай что хочешь…
                                                                  +2
                                                                  Вообще, кажется странным, что говорят об «обновлении хрома», учитывая, что он никогда не выдает таких сообщений и обновляется скрыто. Я понимаю, что не все об этом знают, но очень глупый способ развода
                                                                    0
                                                                    первое, что я сделал — это полез в окошко «о программе», где проверяются обновления, после чего все встало на свои места :).

                                                                    А вообще, сами понимаете, на какую аудиторию расчитаны подобные хаки, это ж вконтакте. На 100 человек 10 да купится — уже неплохо.
                                                                    0
                                                                    Только у меня пропало расширение smooth gestures и больше не ищется в Гугл сторе?
                                                                    Самое нужное мне расширение! Wtf?
                                                                      0
                                                                      Само расширение у меня живо, но при попытке открыть страничку в маркете пишет «Item not found. This item may have been removed by its author.»
                                                                      –2
                                                                      Я ЗНАЛ!!! И когда я тут вопрос задал, мне слили карму! Вот вопрос
                                                                        +1
                                                                        Только я не понял — там вы писали что расширения у вас не установлены.
                                                                          –2
                                                                          Я писал про расширения в вконтакте. Но не в браузере. Возможно на тот момент я не правильно понял совет
                                                                            0
                                                                            Вы написали, что в других браузерах то же самое.
                                                                        0
                                                                        Правильно ли я понял, что в Chrome Webstore тоже нет премодерации?
                                                                          +1
                                                                          Правильно
                                                                            0
                                                                            Модерация есть только в случае, если расширение имеет NPAPI-модуль.
                                                                              +1
                                                                              …и если имеет доступ к https:// страницам.
                                                                            –4
                                                                            мораль: ВКантакти — зло.
                                                                              +1
                                                                              «Мне нравится интернет, здесь можно назвать кого нибудь говном, а потом выпить теплого молочка и лечь баиньки»
                                                                              Если нечего сказать, то лучше промолчать.
                                                                                –2
                                                                                Да, больно видеть людей без чувства юмора…
                                                                                  +3
                                                                                  В зеркале?
                                                                              –1
                                                                              Внезапно сегодня с утра заморозили страницу вконтакте за вполне безобидное сообщение (со мной такое вообще первый раз).
                                                                              Сводка ПО: Linux, Firefox.
                                                                              Из дополнений к Firefox был установлен "ВКонтакте.ру Downloader"…

                                                                              PS: Или я что-то сделал не так, или похожая ситуация не только с Chrome? ._.
                                                                                0
                                                                                Несмотря на то что Вконтакте официально не поддерживает функцию загрузки видео и аудио, за его скачивание они никогда не блокируют. Похоже, аккаунт был взломан/разослан спам/какой-то человек нажал на кнопку «Пожаловаться»
                                                                                  0
                                                                                  Очень странно. Кстати, удалил профиль firefox и все заработало %).

                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                              Самое читаемое