Skaperne av den populære Chrome og Firefox extension Copyfish annonserte i går at Chrome versjon av utvidelsen ble kapret.
I henhold til den informasjon som er lagt ut på selskapets blogg, en angriper klarte å stjele Google-passord av et medlem av teamet, ved hjelp av phishing på juli 28, 2017.
Et team medlem har mottatt en e-post fra “Google” som sier at vi trenger å oppdatere våre Chrome extension (Copyfish) ellers ville den bli fjernet fra butikken. “Klikk her for å lese flere detaljer” det e sagt. Klikk åpnet “Google” passord i dialogboksen, og de uheldige team medlem skrevet inn passordet for våre developer konto.
Chrome extension ble oppdatert til versjon 2.8.5 så den neste dagen, noe som selskapet visste ikke direkte. Angriperen, som holdt passord og e-postadresse for developer-konto, dyttet en manipulert utvidelse til Chrome store.
Siden Chrome extension oppdateringen automatisk, uten at brukeren foretar seg noe, vil de fleste brukere av utvidelsen mottatt den oppdaterte versjonen. Mens det er mulig å ta forholdsregler før du installerer Chrome-utvidelser, er det ingen slik mulighet for forlengelse oppdateringer.
Rapporter begynte å komme inn på juli 30, 2017 som Copyfish for Chrome var å vise annonser og spam på nettsteder.
Teamet skjønte at noe var galt. En sjekk av Google Developer konto åpenbart at angriperne ikke bare laste opp en ondsinnet versjon av utvidelsen, de har flyttet utvidelse til deres konto.
Dette betyr at Copyfish har ikke adgang til forlengelse ved dette punktet i tid. De kan ikke oppdatere det, og angriperne kan presse ut en annen versjon av utvidelsen til userbase. Siden Chrome-utvidelser oppdateringen automatisk, det kan bare forebygges ved å fjerne utvidelser for Chrome for tiden.
Chrome-brukere som har Copyfish installert akkurat nå rådes til å fjerne nettleser utvidelsen fra nettleser til situasjonen er løst.
Dette er gjort ved å laste inn chrome://utvidelser/ i nettleserens adressefelt og aktivere papirkurv-ikonet ved siden av utvidelsen.
Firefox extension Copyfish er ikke berørt, og det er flere grunner til det. Den mest åpenbare er at angriperne utsatt for svindel passordet til Google-kontoen, og ikke nødvendigvis Mozilla-passord for kontoen din. Mens det kan være identiske, det trenger ikke å være.
Les også: Chrome: Skann filer med Metadefender før du laster dem ned
Enda viktigere, fra en bruker perspektiv er at Mozilla ansatte revisjon extension laster opp manuelt mens du bruker Google automatisering for det. Det er langt vanskeligere å plassere en ondsinnet utvidelse i Mozilla AMO enn det er på Googles Chrome web store.
Phishing-angrep, spesielt rettet seg, er fortsatt svært vellykket. Mens selskapet kunne ha bedre sikkerhet prosesser, f.eks. ved hjelp av to-faktor autentisering eller et passord manager for å unngå å måtte angi konto passord manuelt, det er å ta ansvar ved å forklare nøyaktig hva som har skjedd og hva brukerne kan gjøre for å løse problemet.
Det er interessant å merke seg at Copyfish er ikke den første Chrome-utvidelse som ble hacket lykkes i nyere tid. Social Fixer, er en annen populær extension, ble hacket så godt og metodikk beskriver forfatteren på Facebook ser veldig lik den som brukes til å angripe Copyfish.
Avsluttende Ord
Google er praktisk, men svak — fra et sikkerhetsmessig synspunkt — automatisk oppdatering av Google Chrome og Chrome extensions, og selskapet nektet å bruke ressurser på manuell extension revisjoner, er en alvorlig feil i en nettleser innledet for sin sikkerhet.
Jeg antar det er mindre av et problem for brukere som ikke bruker utvidelser, men hvis du gjør i Chrome, angrep som dette vil skje, og det er ingenting som du som bruker kan gjøre med det hvis du bruker utvidelser.
Hvis maker av en utvidelse blir utsatt for svindel eller hacket, ondsinnet extension oppdateringer kan bli presset til å Chrome-versjon og datamaskinen uten at du blir i stand til å gjøre noe med det.
Nå Lese: Monitor extension oppdateringer i Chrome og Firefox