GNU/Linux >> Tutoriels Linux >  >> Linux

Comment puis-je identifier les logiciels malveillants contenant des extensions Chrome sous Linux ?

Je ne sais pas si c'est le cas dans votre problème particulier, mais il y a eu des situations où de bonnes extensions connues ont été vendues à des tiers qui ont ensuite coopté l'extension à des fins néfastes. Voici une de ces histoires qui en parle :les extensions Google Chrome sont vendues à des sociétés de logiciels publicitaires malveillantes.

extrait

Ron Amadeo d'Ars Technica a récemment écrit un article sur les fournisseurs de logiciels publicitaires qui achètent des extensions Chrome afin de placer des mises à jour malveillantes injectées de publicités.

Google Chrome dispose de mises à jour automatiques afin de s'assurer que les utilisateurs utilisent toujours les dernières mises à jour. Évidemment, Google Chrome est mis à jour directement par Google. Cependant, ce processus de mise à jour inclut par conséquent les extensions de Chrome. Les extensions Chrome sont mises à jour par les propriétaires de l'extension, et il appartient à l'utilisateur de déterminer si le propriétaire de l'extension est digne de confiance ou non.

Lorsque les utilisateurs téléchargent une extension, ils autorisent le propriétaire de l'extension à pousser le nouveau code vers leur navigateur à tout moment.

Ce qui s'est inévitablement produit, c'est que les fournisseurs de logiciels publicitaires achètent les extensions, et donc les utilisateurs, aux auteurs d'extensions. Ces fournisseurs proposent des logiciels publicitaires à tous les utilisateurs de l'extension, ce qui peut rendre l'expérience de navigation dangereuse.

Un auteur d'extensions Google en a fait part dans son article de blog intitulé "J'ai vendu une extension Chrome, mais c'était une mauvaise décision".

Mon conseil serait de prendre cette situation très au sérieux et de désactiver les extensions dont vous n'êtes pas sûr. Je surveillerais alors la situation pour voir si elle s'atténue ou continue.

Si cela continue, je creuserais plus profondément et commencerais à examiner les serveurs DNS que vous utilisez. J'utilise généralement OpenDNS pour cette raison exacte, car ce service (gratuit) tente de contrecarrer les vecteurs d'attaque en redirigeant les recherches DNS vers d'autres pages OpenDNS à la place.

Pourquoi se soucier du DNS ?

Les serveurs DNS OpenDNS augmenteront intentionnellement les résultats qu'ils renvoient lorsque vous effectuez une recherche si un nom d'hôte est connu pour être affilié à des activités liées au spam/piratage/hameçonnage. Ils sont dans une position unique puisqu'ils effectuent les recherches pour chaque site que leurs clients visitent, afin qu'ils puissent détecter les anomalies voir ici :OPENDNS PHISHING PROTECTION, ainsi qu'ici.

Quoi d'autre ?

Je m'assurerais également que votre /etc/hosts le fichier n'a pas été compromis et continuez à surveiller la situation en utilisant quelque chose comme nethog , qui montrera quels processus accèdent à votre réseau.

Amit Agarwal a créé une extension Feedly pour Chrome en moins d'une heure et l'a vendue sans le savoir à un fournisseur d'adware pour une offre à 4 chiffres. L'extension comptait plus de 30 000 utilisateurs sur Chrome au moment de la vente. Les nouveaux propriétaires ont poussé une mise à jour de la boutique Chrome, qui a injecté des logiciels publicitaires et des liens d'affiliation dans l'expérience de navigation des utilisateurs. Bien que cette extension ait été supprimée en raison de la publicité faite par les aveux pleins de remords d'Agarwal, il s'agit d'un événement très courant dans les extensions Chrome.


Jetez un œil aux critiques de l'extension Gestes fluides (lien direct).

Si vous triez les avis par date (en cliquant sur Récent ), vous verrez que presque tous les nouveaux avis ont une note d'une étoile et se plaignent de publicités sournoises :

Kévin Lee il y a 1 jour

Vendu à une société tierce qui ajoute des publicités et une fonctionnalité de paiement pour supprimer les publicités.

Suresh Nageswaran il y a 3 jours

Déteste les publicités. A bien fonctionné jusqu'à ce qu'il commence à injecter des publicités dans mon expérience de navigation. J'aurais payé pour continuer à l'utiliser, mais je tenais beaucoup à la sournoiserie. Limites sur les logiciels espions.

Jean Smith il y a 6 jours

Ne l'utilisez pas. Il injecte JS pour détourner des clics et cause des problèmes de sécurité XSS avec https.

Tomas Hlavacek 23 février 2014

Merde absolue... Vous souvenez-vous de l'incident avec le détournement d'URL non autorisé ? Ensuite, ils ont commencé à forcer les utilisateurs à "faire un don" ou à subir des publicités. Il commençait même à traîner sur certaines pages (ce qui n'était pas le cas avant toutes ces "améliorations"). Je suis donc passé à CrxMouse et ça va.

kyle barr 19 février 2014

C'est une solide extension des gestes de la souris, mais les nouvelles publicités sont un ajout horrible. D'abord parce que l'extension met à jour et ajoute silencieusement les publicités, vous ne savez donc pas d'où elles viennent. Ici, j'analyse mon ordinateur avec plusieurs scanners de logiciels malveillants parce que je reçois des publicités aléatoires, jusqu'à ce que je réalise que c'est Smooth Gestures qui les insère.

Il n'y a plus de bonne raison d'utiliser cette extension, et personnellement, j'aimerais savoir qui développe cette extension afin de m'assurer de ne rien installer d'eux à l'avenir.

On dirait que celui-là est le coupable.


En plus des réponses ici, j'ai trouvé quelques ressources plus utiles.

  1. Cet article howtogeek recommande un programme appelé Fiddler qui agit comme un proxy de débogage Web, vous permettant d'examiner les requêtes réseau (il existe une version alpha Linux). @slm m'a indiqué cette réponse sur SO qui a également divers programmes similaires.

  2. Le mode développeur dans chrome://extensions de chrome vous permet de vérifier chaque extension pour les processus exécutés en arrière-plan :

    En cliquant sur background.html ouvre la fenêtre des outils de développement de chrome qui vous permet de parcourir facilement les sources des différents scripts contenus dans l'extension. Dans ce cas, j'ai remarqué un dossier appelé support dans l'arborescence source de Sexy Undo Close Tab qui contenait un script appelé background.js qui avait l'air suspect (il générait des intervalles de temps aléatoires qui correspondent à mes symptômes).

  3. Cet autre article howtogeek contient une liste d'extensions connues à éviter, mais encore mieux, http://www.extensiondefender.com qui semble être une base de données d'extensions malveillantes générée par l'utilisateur. Cependant, ils ne précisent pas comment ou pourquoi une extension particulière a été étiquetée comme logiciel malveillant ou addware, alors peut-être devrait-elle être prise avec un grain de sel.

  4. Les personnes derrière extensiondefender.com (quels qu'ils soient) ont également développé une petite extension très cool appelée (roulement de tambour) Extension Defender. Cela vous permet à la fois d'analyser vos extensions existantes pour les "mauvaises" connues et également d'empêcher l'installation des extensions sur liste noire.

Ainsi, parmi les extensions de mon OP, Smooth Gestures (merci @Dennis) et Sexy Undo Close Tab sont des addwares. Basé sur le code source du support/background.js fichier de ce dernier, je suis à peu près sûr que c'est l'un d'entre eux qui a piraté au hasard ma page actuelle, mais je vais lui donner quelques jours pour en être sûr.

Une autre extension utile est Extensions Update Notifier (merci @Dennis) qui vous permet apparemment de savoir chaque fois qu'une extension a été mise à jour, ce qui pourrait aider à identifier le coupable au cas où une mise à jour ajouterait ce type de comportement.


Linux

  1. Comment puis-je lier symboliquement un fichier sous Linux?

  2. Comment puis-je supprimer complètement Jenkins de Linux

  3. Comment puis-je reprendre une tâche arrêtée sous Linux ?

  4. Comment un noyau Linux peut-il être si petit ?

  5. Comment puis-je rechercher un nom d'utilisateur par identifiant sous Linux?

Comment installer et utiliser les extensions GNOME Shell sous Linux

Comment ajouter une extension dans Google Chrome

Comment supprimer des fichiers avec une extension spécifique sous Linux

Comment installer le lanceur d'applications Google Chrome sous Linux

Comment installer Google Chrome sur Linux Mint 20 / Linux Mint 20.1

Comment puis-je profiler du code C++ exécuté sous Linux ?