17 июн 2020 в 00:06

Opera Helper бороздит просторы Сети без ведома пользователя?

Ожидает приглашения

Приветствую всех хабражителей.

Сегодня произошёл очень странный и необычный случай при использовании браузера Opera на MacOS. У меня есть сомнения, что обращаюсь по адресу, но всё же решил написать сюда.

Вкратце, для экономии времени читателей: в папке загрузок, с интервалом в час и сорок минут, появились три php-файла с перечнем URL (все на одном ресурсе) и функцией перехода по этим URL. До сегодняшнего дня ничего подобного со мной не происходило.

Если статья не помещается в рамки сообщества — просьба к модераторам её не пропускать.

Перехожу к сути.

Сразу оговорюсь — Opera является моим основным браузером уже очень давно, Safari и Firefox использую периодически, но в сравнительно небольшом объёме. Пользователь я достаточно аккуратный. По сомнительным, с точки зрения сетевой гигиены ресурсам — не хожу совсем или, по крайней мере, стараюсь не ходить если возникают сомнения.

Со вчерашнего вечера и до момента обнаружения указанных файлов браузер был «закрыт» — приложение запущено, но не открыта ни одна вкладка, содержащая внешний ресурс.

Разблокировал утром ноутбук (включён постоянно), нажал кнопку обновления встроенного в браузер агрегатора новостей (три источника), быстро пробежался по заголовкам и, не переходя ни по одной из новостей, ушёл по другим делам. Возвращаюсь через некоторое время и вижу, что в папке «Downloads», которая назначена папкой для загрузок по-умолчанию, появилось три php-файла: 'tvigle1075nom.php', 'tvigle1361.php' и 'tvigle1361 (1).php'.

Обратил на них внимание сразу, так как точно знаю, что их здесь не было ранее и быть, по идее, не должно (я не разработчик на php).

Выдержка содержимого 'tvigle1075nom.php':

<?php

go([
    "https://www.tvigle.ru/video/zamok/?ref=1075&utm_source=107501",
    "https://www.tvigle.ru/video/nachalnik-chukotki/?ref=1075&utm_source=107501",
    ....
    "https://www.tvigle.ru/video/videli-noch-trailer/?ref=1075&utm_source=107501",
]);

function go($urls)
{

    $url = $urls[(int)array_rand($urls)];
    $queryString = parse_url($url, PHP_URL_QUERY);
    parse_str($queryString, $params);
    $params = array_replace($params, $_GET);
    $qs = 0 === count($params) ? '' : '?' . http_build_query($params);

    [$baseUrl] = explode('?', $url);
    $redirectUrl = $baseUrl . $qs;

    header('Location: ' . $redirectUrl, true, 307);
}

В файле 2455 строк, время создания 09:06.
Источник загрузки: «https:/ /www.tvigle.ru/ https:/ /traf.store/player/tviglepack/tvigle1075nom.php».

Содержимое 'tvigle1361.php' и 'tvigle1361 (1).php' полностью идентично между собой и от первого файла отличается только параметром 'ref=1078'.

В файлах тоже по 2455 строк, время создания 10:46 и 12:21 соответственно.
Источник загрузки: «https:/ /www.tvigle.ru/ https:/ /traf.store/player/tviglepack/tvigle1361.php».

Ситуация меня насторожила, поэтому сразу открыл монитор трафика в Little Snitch посмотреть что там происходит с сетевыми подключениями и вижу — процесс Opera Helper коннектится к 46 доменам (не одновременно, конечно), среди которых и указанные выше доменные имена и куча других, на которые я по собственной воле не зашёл бы.

Закрыл браузер полностью. Открываю повторно — вижу уведомление об обновлении браузера до версии 68.0.3618.165 (установлено автоматическое обновление).

Решил повторить эксперимент с новой версией браузера: открыл приложение, сразу закрыл все его окна, запустил в Little Snitch захват трафика процесса Opera Helper и в GUI наблюдал его коннект к куче доменов. Меньше чем за пять минут *.pcap набрал объём 36 МБ и я остановил захват трафика.

Бегло проанализировав дамп, пришёл к выводу, что мне совершенно не нравится ситуация, при которой браузер, запущенный на моём компьютере, даже во время простоя генерирует трафик для кучи ресурсов, большинство из которых зарабатывает на показе рекламы и о большинстве из которых я даже не подозревал (на тот же Твигл я не ходил вообще ни разу и только сегодня узнал о его существовании).

Ради эксперимента понаблюдал за двумя другими браузерами в точно таких же условиях (приложение запущено, но не открыто ни одно окно) и пришёл к следующему выводу: возможно, в силу недостаточной компетенции, я делаю некорректный вывод, но сегодня я последний день использую Оперу в качестве браузера и после переноса из него закладок на моём компьютере его больше не будет.

Для чистоты эксперимента я понаблюдаю за Safari и Firefox после переноса в них всех закладок из Оперы. Если ситуация будет похожа — обновлю пост. Но, что-то мне подсказывает, что всё сложится не в пользу Оперы.

Жаль, мне нравился этот браузер.

Благодарю за внимание.

Теги:

Хабы: