500 mila download per 4 estensioni Chrome dannose (già rimosse)

500 mila download per 4 estensioni Chrome dannose (già rimosse)

Le estensioni individuate sono parte di una campagna che indirizza il browser di nascosto su siti zeppi di inserzioni pubblicitarie, ma in mani esperte avrebbero potuto essere usate anche come strumenti di spionaggio

di pubblicata il , alle 18:01 nel canale Sicurezza
Chrome
 

ICEBERG, società che si occupa di sicurezza informatica, si è imbattuta in quattro estensioni per Chrome potenzialmente molto pericolose, che sono state scaricate complessivamente oltre 500 mila volte e che possono consentire l'esecuzione di codice da remoto con tutto ciò che questo può comportare.

La scoperta è avvenuta dopo che la società ha rilevato un picco di traffico sospetto verso l'esterno, proveniente dalla workstation di un cliente. L'origine del traffico è stata rapidamente individuata in una estensione Chrome chiamata HTTP Request Header che sfruttava la macchina su cui era installata per visitare di nascosto siti web contenenti numerose inserzioni pubblicitarie. I riceratori hanno poi individuato altre tre estensioni chiamate Nyoogle, Stickies e Lite Bookmarks che si comportano più o meno allo stesso modo.

ICEBERG ha raccolto elementi che fanno pensare che le estensioni siano legate ad una truffa che ha semplicemente lo scopo di generare guadagni da ricompense basate sui click dell'utente. I ricercatori però avvertono che le estensioni malevole possono facilmente essere utilizzate, in mani esperte, come strumenti di spionaggio ed esfiltrazione di informazioni e dati. I ricercatori hanno comunicato privatamente le loro scoperte a Google, allertando inoltre il National Cyber Security Center dei Paesi Bassi e l'US CERT. Google ha rimosso le estensioni una volta ricevuta la segnalazione e solo dopo ICEBERG ha pubblicato un resoconto spiegando il meccanismo di funzionamento delle estensioni dannose.

Scrivono i ricercatori: "Per come è stato progettato il motore JavaScript di Chrome esegue codice JavaScript contenuto nel JSON. Per questioni di sicurezza Chrome previene la possibilità di ricevere JSON da fonti esterne tramite le estensioni, che devono esplicitamente fare richiesta tramite il Content Security Policy. Quando un'estensione abilita i permessi "unsafe-eval" per compiere tale azione, potrebbe ricevere o processare JSON da un server controllato esternamente. Questo crea una situazione in cui l'autore dell'estensione può iniettare ed eseguire codice arbitrario JavaScript in qualunque momento quando il server riceve una richiesta".

Quando si ha a che fare con le estensioni di Chrome, che è riconosciuto essere tra i browser più sicuri al momento in circolazione, è bene adottare la giusta dose di cautela specie quando si tratta di componenti provenienti da terze parti: installare esclusivamente add-on di cui proprio non si può fare a meno, leggere le recensioni di altri utenti, verificare approfonditamente la credibilità dello sviluppatore e, per i più tecnici, osservare codice e comportamento dell'estensione.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
nx-9919 Gennaio 2018, 11:07 #1

informatica

Cit.
Non importa quanto tu sia previdente, accorto, esperto... L'informatica ha raggiunto un grado di complessità tale che non è più una scienza esatta, ormai è probabilistica, quasi filosofica.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^