Adblockból malware

Az Internet tele van reklámokkal. Nem újdonság ez, de ahogy az élet sok más területén, itt is sikerült sokaknak elvetni a sulykot. Ennek hatására természetesen megindultak az adblock fejlesztések, a régi motorosoknak aligha kell említenem az Adblock Plust, mint az egyik legrégebbi képviselőjét ezen alkalmazásoknak. Mint oly' sok esetben, itt is bekövetkezett, hogy van az a pénz, amitől korpásodik a haj, azaz az ABP fejlesztője pénzért elkezdett átengedni "nem tolakodó" reklámokat. Erre természetesen az a válasz született, hogy akkor legyen helyette másik. Így született meg a uBlock Origin. E megoldás alapból tilt minden reklámot, a felhasználója pedig szabadon dönthet, mely oldalakon szeretné a blockert inaktívvá tenni. A uBlockból aztán megszületett a Nano "család": Adblocker, Defender - ezek a kitejesztések némi pluszt adtak az eredeti uBlockhoz: gyorsabban érkeztek mind a blokkolandó listák, mind a képesség-fejlesztések.

A helyzet fokozódik


A Nano család fejlesztője elérkezett arra a pontra a fejlesztésben, amikor a hullámok már kezdtek átcsapni a feje fölött: a backlogja egyre hosszabb és több szintű lett, ami természetesen azt jelentette, hogy a frissítések minden szempontból lelassultak. Lényegesnek tartom megjegyezni, hogy ez alapvetően a Chrome kiterjesztést érintette, mivel a Firefox kiterjesztést már korábban átadta másnak. Az eredeti fejlesztő előtt két lehetőség állt: vagy teljesen becsukja a boltot és megszűnik a projekt teljesen, vagy megpróbál találni valakit, vagy valakiket, akik folytatják a munkát. A választása végül két ismeretlen, török származású fejlesztőre esett. Nem rendelkezem információval arról, hány jelentkező volt egyáltalán, vagy ki mennyit kínált a fejlesztés megvásárlásáért (egyáltalán, bárki más ajánlott-e pénzt érte), a tény az, hogy valamennyit fizettek a projekt átvételéért. Az átvétel pillanatában a számukra elérhető felhasználói bázis körülbelül negyedmilliós volt.


Mivel az átvevők fizettek a fejlesztés folytatásáért, várható volt, hogy valamilyen formában monetizálni akarják a kiterjesztést. Ilyenkor sok ötlet juthat az ember eszébe, végül a prezentált megoldás egyértelműen túl messzire ment...


Adblockból malware


A Google október 19-ével malware-nek nyilvánította a török fejlesztők első kiadását és törölte azt a Chrome Web Store-ból. Mi vezethette a Google-t erre a lépésre?

A török fejlesztők által kiadott produktum már a legelső megmozdulásával is felhívja magára a figyelmet. Ha a kiegészítés telepítve van (volt) és valaki meghívta a Chrome beépített fejlesztői eszközeit, a kiterjesztés azonnal felvette a kapcsolatot egy C2 szerverrel. Nyilván ha valaki elemezni szeretné, mit csinál egy kiterjesztés, az első dolga a fejlesztői eszközök megnyitása lesz... Gorhill, a uBlock fejlesztője megpróbálkozott az analízissel így is, amelynek az eredménye a következő: a malware ellopja a header információkat, beleértve a session cookie-kat is. Ezek a cookie-k tárolják a felhasználót az adott oldalon azonosító karakterláncot. (FIGYELEM: nem a felhasználónév és a jelszó van benne!) Ha egy weboldalon nincs kötelező újrabelépés, hanem az oldal megnyitásakor automatikusan belépett az oldal felhasználója, akkor ilyen cookie biztosan van az adott számítógépen. Jelen pillanatban csak az Instagram az érintett oldal, amit a felhasználók is megerősítettek, de a böngészőkiterjesztés potenciálisan bármilyen oldallal képes ezt megtenni. Az Instagramon a malware különböző bejegyzéseket like-ol. Egyéb veszélyeztetett oldalak a Facebook, a Twitch és a GitHub, de bármilyen oldalon is volt aktív loginunk október 8-án vagy azóta, mindenképpen jelszót kell cserélni. Ez egyrészt megszünteti az aktív loginokat a korábbi session cookie érvénytelenítésével, másrészt noha eddig nem találtak bizonyítékot a jelszavak ellopására, az ördög nem alszik.

Gondolatok


Mi ment félre, hogyan állhatott elő ilyen helyzet?

A Nano eredeti fejlesztője nem informálódott eléggé, kiknek adja el a termékét és a felhasználóbázist. Védelmére három dolog szól: 1. A vásárlókról nemigen lehetett információt találni az Interneten. 2. Nem akarta, hogy a projekt eltűnjön a süllyesztőben. 3. A malware kódot nem ő rakta a termékbe és e szándékról a vásárlók nem tájékoztatták (nyilván egyébként sem tették volna).

Hány egyéb ilyen böngészőkiterjesztés létezhet még a Nano családon kívül, ami potenciális malware? A User-agent Switcher még olyan, ami miatt érdemes aggódni. A 2.0.0.9 és 2.0.0.10 verziók gyanúsak, mert ezeket egy ismeretlen vásárolta meg az eredeti fejlesztőtől. Ez a tulajdonosváltás még a nyár folyamán történt, tehát a potenciális fertőzési időablak még nagyobb.

Nem tettem még említést az Edge verzióról. Az Edge-re készült Nano Adblocker/Defender nem kapott frissítést és nem került a vásárlók kezére, így az nem érintett.

2020.10.21.
CoreSec