顯示廣告
隱藏 ✕
回列表(←)
Disp BBS guest 註冊 登入(i) 線上人數: 703
首頁(home) 上頁(↑) 下頁(↓) 末頁(end)
※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2018-01-26 20:58:02
 唉低  -千年之夏-                                               批萬  姆咪板  
 廢文  [資安] 惡意Chrome、Firefox擴充程式強迫安裝,而且狡猾地不給用戶移除    
 嘻嘻  Sun Jan 01 00:00:00 1990                                              
───────────────────────────────────────
--
    當心! 惡意Chrome、Firefox擴充程式強迫安裝,而且狡猾地不給用戶移除
    https://www.ithome.com.tw/news/120836
當心! 惡意Chrome、Firefox擴充程式強迫安裝,而且狡猾地不給用戶移除 | iThome
[圖]
Malwarebytes發現在Chrome、Firefox上出現惡意擴充程式,以強迫安裝的方式植入用戶的電腦中,而且以相當狡猾地以種種手法不讓用戶輕易移除,經揭露後Chrome的惡意擴充程式已被下架。 ...

 


    Malwarebytes發現在Chrome、Firefox上出現惡意擴充程式,以強迫安裝的方
    式植入用戶的電腦中,而且以相當狡猾地以種種手法不讓用戶輕易移除,經
    揭露後Chrome的惡意擴充程式已被下架。

    瀏覽器擴充程式已然成為新的安全問題。安全公司Malwarebytes*分別發現
    Chrome與Firefox有惡意擴充程式安裝後竟會使用詭計不讓用戶移除。

    在Chrome上的惡意擴充程式稱為Tiempo en Colombia en vivo。它是該公司
    2016年發現強迫安裝Chrome擴充程式的一種手法而流傳。在這種手法下,網
    站被植入一種惡意JavaScript程式,會在用戶不小心造訪網站時跳出對話框
    ,要求使用者如果要離開網站就必須安裝擴充程式。一般人會按「取消」,
    這時它會再顯示「避免本頁再產生其他對話框」的對話框。通常使用者會按
    下「OK」。不過這會讓用戶被導向全螢幕模式,並看見自己正要安裝的擴充
    程式。

    Tiempo en Colombia en vivo一旦被安裝到電腦上,它會使Chrome出現異常
    行為。例如研究人員Pieter Arntz在測試機器上發現它會自動點擊十多部
    YouTube影片,似乎要衝刺點閱率。

    但當用戶想要移除它時會發現難上加難。首先,它不讓用戶連結
    chrome://extensions/,即可一覽Chrome擴充程式並移除的頁面,而是導向
    chrome://apps/?r=extensions。在這個頁面上自然找不到這個惡意擴充程式
    。封鎖Chrome中的JavaScript也沒有用,因此這個方法只適用於外部網頁,
    對本機上的網頁無效。而在Chrome下執行「–disable-extensions」指令也
    沒用,因為Chrome會顯示它沒有擴充程式。

    唯一方法是修改擴充程式資料匣中的1499654451774.js檔名。此後重新啟動
    Chrome即會在chrome://extensions/顯示所有擴充程式,包括Tiempo en
    Colombia en vivo,但因為其JavaScript被重新命名,因此會顯示該檔案已
    損毁。但這時即可將之刪除。(來源:Malwarebytes)

https://blog.malwarebytes.com/wp-content/uploads/2018/01/ChromeRenamedJS.png
[圖]
 

    Malwarebytes研究人員也在Firefox發現有類似手法的擴充程式,名為
    PUP.Optional.FFHelperProtection。但它是以網站上的廣告輪播程式推送出
    Firefox手動更新的詐騙廣告,誘騙使用者下載。安裝後它會在用戶搜尋擴充
    程式頁時,以background.js尋找URL的字串,然後將之關閉,讓使用者想移
    除也找不到。

    不過這個擴充程式比較容易對付。只要在啟動Firefox時按著Shift鍵,按下
    「以安全模式啟動」的選項。在安全模式的Firefox下,所有擴充程式都會現
    形,讓使用者得以手動移除。而且如果Firefox因為JavaScript,對話框一再
    跳出而動彈不得的話,只要利用「工作管理員」即可關閉Firefox。

    Tiempo en Colombia en vivo在上周四都可在Chrome Web Store上下載。
    Malwarebytes公佈並由Ars Technica報導後**,Google已經將之移除。
    PUP.Optional.FFHelperProtection則並未在Firefox 擴充程式商店中發現。

    由於這兩款惡意擴充程式可能是利用強迫安裝法安裝到用戶端,有可能被趁
    虛而入。因此安全公司建議不要下載來路不明的擴充程式,並使用廣告封鎖
    工具。最好方法是詳細閱讀任何擴充程式的使用條款。

    這是最新發現的惡意Chrome擴充程式。近年來Chrome擴充程式常被駭客用來
    散佈惡意廣告程式***。本月又有資安業者分別發現****Chrome Web Store
    上有Chrome擴充程式被植入採礦程式*****或點擊詐騙程式,消息曝光後
    Google才將之移除。

    * https://is.gd/D166uh
New Chrome and Firefox extensions block their removal to hijack browsers - Malwarebytes Labs | Malwarebytes Labs
[圖]
[圖]
[圖]
Two new extensions in Firefox and Chrome force install then hide from the user. Learn how you can protect yourself against them and remove them manual ...

 
    ** https://is.gd/rVjvhb
Malicious Chrome extension is next to impossible to manually remove | Ars Technica
[圖]
Extensions remain the Achilles heel for an otherwise highly secure browser. ...

 
    *** https://is.gd/raD3Y9
鎖定Chrome擴充程式的綁架攻擊威脅擴大了! | iThome
[圖]
安全業者Proofpoint警告有更多的Chrome擴充程式開發者遭到釣魚郵件騙取Google帳密,以在擴充程式中植入惡意程式,將廣告置換為色情廣告、綁架流量。 ...

 
    **** https://is.gd/jjbKuD
小心! 4款Chrome擴充程式會偷偷進行廣告點擊詐騙 | iThome
[圖]
ICEBRG指出4款惡意的Chrome擴充程式雖然現階段只會實行廣告點擊詐騙,但駭客也可以瀏覽被害者內部網路,回傳機密資料。 ...

 
    ***** https://is.gd/ZXlgr3
下載超過10萬次的Chrome擴充程式Archive Poster遭植入採礦程式 | iThome
[圖]
Essence Labs開發的Chrome擴充程式Archive Poster去年12月10日更新後,就有用戶發現擴充程式被植入採礦程式,Essence Labs研究後證實確實被植入採礦程式,但並非開發商所為,而是綁架Archive Poster所有權的駭客所為,Google已將Archive Po ...

 

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 89.212.211.14
※ 文章代碼(AID): #1QQNEg-W (Browsers)
※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1516860330.A.FA0.html
※ 編輯: kaoh08 (89.212.211.14), 01/25/2018 14:25:14
ltytw: 不覺得現在的javascript過份強大了嗎? 想當年的javascript1F 01/26 14:40
ltytw: 就是只能做一些基本的
Wcw5504: 以前用activex跟napapi的時候更嚴重 現在已經算好了3F 01/26 16:08
Toge: 沒辦法,漏洞是一定有的,看有沒有人要鑽而已4F 01/26 17:32

--
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 465 
分享網址: 複製 已複製
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇