Skaparna av den populära Chrome och Firefox extension Copyfish meddelade i går att Chrome version av förlängningen var kapat.
Enligt postat information på företagets blogg, en angripare har lyckats stjäla Google-lösenord i ett team medlem med hjälp av phishing den 28 juli, 2017.
En gruppmedlem fick ett mail från “Google” att säga att vi behöver uppdatera vårt Chrome extension (Copyfish) annars skulle det tas bort från butiken. “Klicka här för att läsa mer information” e-sade. Klicka öppnade “Google” lösenord i dialogrutan, och otur gruppmedlem in lösenordet för våra utvecklare konto.
Den Chrome har uppdaterats till version 2.8.5 sedan nästa dag, något som bolaget inte inser direkt. Angriparen, som höll lösenord och e-postadress för utvecklare konto, drev en manipulerad tillägget till Chrome store.
Eftersom Chrome uppdateras automatiskt utan att användaren har majoriteten av användarna av förlängningen fick den uppdaterade versionen. Medan det är möjligt att vidta försiktighetsåtgärder innan du installerar Chrome-tillägg, det finns ingen sådan möjlighet för förlängning uppdateringar.
Rapporter började komma i den 30 juli 2017 som Copyfish för Chrome var att visa annonser och spam på webbplatser.
Teamet insåg att något var fel. En kontroll av Google Developer-konto avslöjade att angriparna inte bara ladda upp en skadlig versionen av extension, de flyttade förlängningen till deras konto.
Detta innebär att Copyfish har ingen tillgång till förlängning vid denna tidpunkt. De kan inte uppdatera den, och angriparna kan pressa ut en annan version av tillägget till userbase. Eftersom Chrome-tillägg uppdatera automatiskt, det kan bara förhindras genom att ta bort tillägg för Chrome.
Chrome-användare som har Copyfish installerat just nu är klokt att ta bort tillägg till webbläsaren från webbläsaren tills situationen är löst.
Detta görs genom att fylla på chrome://extensions/ i adressfältet och aktivera papperskorgen bredvid tillägget.
Firefox extension Copyfish påverkas inte, och det finns flera skäl till detta. Den mest uppenbara är att angriparna lösenordsfiskad Google-konto lösenord och inte nödvändigtvis Mozilla lösenord för kontot. Även om det kan vara identiska, men det behöver det inte vara.
Läs också: Dölj Chrome Inaktivera utvecklare läge tillägg varning
Viktigare ur ett användarperspektiv är att Mozilla anställda revision förlängning inlagda manuellt medan du använder Google automation för det. Det är betydligt svårare att placera en skadlig förlängning i Mozilla AMO än det är på Google Chrome web store.
Phishing-attacker, särskilt riktade dem, är fortfarande mycket framgångsrika. Samtidigt som företaget kan ha bättre säkerhet processer, t ex med hjälp av två-faktor autentisering eller ett lösenord manager för att förhindra att behöva ange lösenord manuellt, det är att ta ansvar genom att förklara exakt vad som har hänt och vad användare kan göra för att lösa problemet.
Det är intressant att notera att Copyfish är inte första Chrome-tillägg som fick hacka framgångsrikt på senare tid. Social Fixare, en annan populär förlängning, var hackad och den metod som författaren beskriver på Facebook ser mycket lik den som används för att attackera Copyfish.
Avslutande Ord
Google är bekvämt, men svaga — från säkerhetssynpunkt — automatisk uppdatering av Google Chrome och Chrome-tillägg, och bolagets vägran att spendera resurser på manuell förlängning revisioner, är en allvarlig brist i en webbläsare hyllas för sin säkerhet.
Jag antar att det är ett mindre problem för användare som inte använder extensions, men om du gör det i Krom, attacker, som att detta kommer hända och det är inget som du som användare kan göra om det om du använder tillägg.
Om tillverkaren av en förlängning blir lösenordsfiskad eller hackad, skadliga förlängning uppdateringar kan skjutas till i din Chrome-version och dator utan att du kan göra något åt det.
Läs nu: Övervaka förlängning uppdateringar i Chrome och Firefox