Плагин к браузерам – многофункциональный вирус?

Разработанный плагин может поддерживать модификацию загружаемых веб-страниц, выполнять обход авторизации на сайтах, красть регистрационные данные, используемые для входа в Интернет-сервисы, а также осуществлять загрузку и исполнение внешнего кода, удаленное управление компьютером и пр.

Балаш пообещал выложить код программы на публичном ресурсе GitHub, чтобы желающие могли убедиться в правильности его выводов, касающихся уязвимости всех нынешних Интернет- браузеров. Золтан, работающий в филиале широко известной консалтинговой  фирмы «Delloite» в Венгрии, своей разработкой хочет донести до Интернет-сообщества, какие неприятные сюрпризы могут таить в себе аддоны для браузеров, и попытаться обратить на эту проблему  внимание разработчиков антивирусного ПО. До того, как опубликовать свою программу, автор предоставил ее код  всем крупнейшим производителям антивирусных продуктов.

Уже были известны случаи применения браузерных плагинов в мошеннических целях. Например, в текущем году, в мае, был выявлен плагин к Google Chrome, который «забавлялся» на сайте Wikipedia, вставляя в страницы подложную рекламу. До настоящего времени эти вредные расширения использовались в основном для криминала с онлайн-рекламой  или же для обработки запросов поиска на несуществующих сайтах. Детище Балаша позволяет понять наглядно, насколько такие плагины опасны, и как они могут применяться злоумышленниками для атак более крупного масштаба.

Чтобы проверить свои предположения, Золтан  разработал расширения для популярных браузеров Google Chrome,  Mozilla Firefox, Safari и планирует создать еще версию специально для IE. Данные плагины можно применять для похищения пользовательских “cookie”, а также для обхода систем с доступом по паре “Login – Password”, что позволяет похищать данные учетных записей на разных сайтах.

К радости пользователей Google Chrome, версия плагина для этого браузера пока не поддерживает операции с файлами – их исполнение, загрузку и отправку. Но Золтан заверил, что это вопрос времени, ему на данном этапе просто было некогда воплотить эти возможности  в жизнь. Однако имеется в Chrome и своя уязвимость: технология Native Client (NaCl), которая предназначена для старта кода на С и С++ из веб-приложений, недостаточно защищена и позволяет злоумышленнику взломать хэш-коды шифрованных паролей. Один из сослуживцев  Балаша даже сумел создать свою концепцию по взлому паролей специально для Google Chrome Native Client.

Версия для Mozilla Firefox не только умеет красть «password» из диспетчера паролей, встроенного в браузер, но и менять контент веб-страниц, подобно действию «банковских троянов», скрывающих информацию о краже средств, а также выполняет операции с файлами (отправка, загрузка, исполнение), но только под управлением Windows. Помимо этого, плагин поддерживает получение изображений с веб-камеры, используя Flash-приложение на веб-странице, может работать прокси-сервером для HTTP. Это позволяет мошеннику вторгаться в сеть потенциальной жертвы. Расширение способно работать и с мобильной версией Firefox для платформы Android. И хотя здесь оно имеет несколько меньше возможностей, но зато может определять и передавать мошеннику местоположение устройства в географических координатах.

Версию для браузера Safari, по словам автора, удалось реализовать без особых затруднений,  по причине легкого преобразования плагина для Google Chrome в плагин для Safari. Самое неприятное в работе с этими плагинами то, что вредоносный трафик маскируется под обычный, и его почти невозможно выявить брандмауэром или фаерволом.

Как же защитить свой браузер?

Пользователям  Firefox следует точно уяснить для себя – а нужно ли ему данное конкретное приложение? Ведь этот браузер позволяет устанавливать в себя сторонние  плагины, порой даже из неизвестных источников. Google Chrome в этом плане выгодно отличается от Firefox, ведь данный браузер поддерживает плагины только из официального источника (магазина приложений). И здесь у злоумышленника только два пути – либо размещение своего вредоносного файла каким-то непостижимым путем в официальном магазине, либо непосредственное копирование его в папку расширений браузера на компьютере  клиента.

В настоящее время Золтан не сумел добиться скрытой установки губительного плагина в браузер Google Chrome, но он с опаской говорит о том, что,  возможно,  злонамеренные компьютерные гении уже справились с этой задачей.  По его мнению,  все разработчики Интернет-браузеров  должны принять меры к строгому ограничению возможности установки всяческих браузерных расширений, ведь данная мера  достаточно действенна. И, разумеется, производителям антивирусов следует внимательнее относиться к опасности угрозы в плагинах браузеров. В настоящее  время  еще совсем не развит механизм  выявления вредоносных расширений. Балаш заметил,  что даже если сигнатуры его продукта будут внесены в антивирусные базы, злоумышленник может достаточно легко обойти обнаружение минимальным изменением кода своего вредоносного плагина.

Источник: www.internetua.com