Угорський експерт-антивирусник Золтан Балаш (Zoltan Balasz) розповів про своє дітище - програмою, яка служить розширенням для інтернет-браузерів, але при цьому має властивості, типовими для шкідливих утиліт.
Розроблений плагін може підтримувати модифікацію завантажуються веб-сторінок, виконувати обхід авторизації на сайтах, красти реєстраційні дані, які використовуються для входу в Інтернет-сервіси, а також здійснювати завантаження і виконання зовнішнього коду, віддалене управління комп'ютером та ін.
Балаш пообіцяв викласти код програми на публічному ресурсі GitHub, щоб бажаючі могли переконатися в правильності його висновків, що стосуються уразливості всіх нинішніх Інтернет- браузерів. Золтан, який працює у філії широко відомої консалтингової фірми «Delloite» в Угорщині, своєю розробкою хоче донести до Інтернет-спільноти, які неприємні сюрпризи можуть таїти в собі аддони для браузерів, і спробувати звернути на цю проблему увагу розробників антивірусного ПО. До того, як опублікувати свою програму, автор надав її код всім найбільшим виробникам антивірусних продуктів.
Вже були відомі випадки застосування браузерних плагінів в шахрайських цілях. Наприклад, в поточному році, в травні, було виявлено плагін до Google Chrome, який «бавився» на сайті Wikipedia, вставляючи в сторінки підроблену рекламу. До теперішнього часу ці шкідливі розширення використовувалися в основному для криміналу з онлайн-рекламою або ж для обробки запитів пошуку на неіснуючих сайтах. Дітище Балаша дозволяє зрозуміти наочно, наскільки такі плагіни небезпечні, і як вони можуть застосовуватися зловмисниками для атак більшого масштабу.
Щоб перевірити свої припущення, Золтан розробив розширення для популярних браузерів Google Chrome, Mozilla Firefox, Safari і планує створити ще версію спеціально для IE. Дані плагіни можна застосовувати для викрадення користувальницьких "cookie", а також для обходу систем з доступом по парі "Login - Password", що дозволяє викрадати дані облікових записів на різних сайтах.
На радість користувачів Google Chrome, версія плагіна для цього браузера поки не підтримує операції з файлами - їх виконання, завантаження і відправку. Але Золтан запевнив, що це питання часу, йому на даному етапі просто не було коли втілити ці можливості в життя. Однак є в Chrome і своя вразливість: технологія Native Client (NaCl), яка призначена для старту коду на С і С ++ з веб-додатків, недостатньо захищена і дозволяє зловмиснику зламати хеш-коди шифрованих паролів. Один з товаришів по службі Балаша навіть зумів створити свою концепцію по злому паролів спеціально для Google Chrome Native Client.
Версія для Mozilla Firefox не тільки вміє красти «password» з диспетчера паролів, вбудованого в браузер, а й змінювати контент веб-сторінок, подібна до дії «банківських троянів», що приховують інформацію про крадіжку коштів, а також виконує операції з файлами (відправка, завантаження , виконання), але тільки під управлінням Windows. Крім цього, плагін підтримує отримання зображень з веб-камери, використовуючи Flash-додаток на веб-сторінці, може працювати проксі-сервером для HTTP. Це дозволяє шахраєві вторгатися в мережу потенційної жертви. Розширення здатне працювати і з мобільною версією Firefox для платформи Android. І хоча тут воно має дещо менше можливостей, але зате може визначати і передавати шахраєві розташування пристрою в географічних координатах.
Версію для браузера Safari, за словами автора, вдалося реалізувати без особливих труднощів, через легені перетворення плагіна для Google Chrome в плагін для Safari. Найнеприємніше в роботі з цими плагінами те, що шкідливий трафік маскується під звичайний, і його майже неможливо виявити брандмауером або фаєрволом.
Як же захистити свій браузер?
Користувачам Firefox слід точно з'ясувати для себе - а чи потрібно йому дане конкретне додаток? Адже цей браузер дозволяє встановлювати в себе сторонні плагіни, часом навіть з невідомих джерел. Google Chrome в цьому плані вигідно відрізняється від Firefox, адже даний браузер підтримує плагіни тільки з офіційного джерела (магазину додатків). І тут у зловмисника тільки два шляхи - або розміщення свого шкідливого файлу якимось незбагненним шляхом в офіційному магазині, або безпосереднє копіювання його в папку розширень браузера на комп'ютері клієнта.
В даний час Золтан не зміг домогтися прихованої установки згубного плагіна в браузер Google Chrome, але він з побоюванням говорить про те, що, можливо, зловмисні комп'ютерні генії вже впоралися з цим завданням. На його думку, всі розробники Інтернет-браузерів повинні вжити заходів до суворому обмеженню можливості установки усіляких браузерних розширень, адже цей захід досить дієва. І, зрозуміло, виробникам антивірусів слід уважніше ставитися до небезпеки загрози в плагінах браузерів. В даний час ще зовсім не розвинений механізм виявлення шкідливих розширень. Балаш зауважив, що навіть якщо сигнатури його продукту будуть внесені в антивірусні бази, зловмисник може досить легко обійти виявлення мінімальним зміною коду свого шкідливого плагіна.
джерело: www.internetua.com
Як же захистити свій браузер?Користувачам Firefox слід точно з'ясувати для себе - а чи потрібно йому дане конкретне додаток?